Functies in de informatiebeveiliging
advertisement
Functies in de informatiebeveiliging Managementsamenvatting..................................................................................................................................... 6 1. Historische ontwikkeling....................................................................................................................................... 7 2. Begrippen en kaders ............................................................................................................................................... 9 3. Uitgangspunten .................................................................................................................................................... 11 3.1 Verantwoordelijkheden 3.2 Scheiden van taken 3.3 Uitbesteding van ICT 3.4 Functie-afbakening 4. Algemene functies in relatie tot de Code voor Informatiebeveiliging ................................................... 13 5. De IB-functies ....................................................................................................................................................... 15 5.1 De zes IB-functies en hun positionering 5.2 Toepassen van het organisatiemodel 5.3 De zes IB-functies nader toegelicht 5.4 Verwante functies 5.5 Specialistische functies 5.6 Teamvorming 6. Functieprofilering ................................................................................................................................................. 23 6.1 Resultaatgebieden 6.2 Functiemodel 6.3 Functieprofielen 6.4 Groeipaden 7. Opleidingen............................................................................................................................................................ 31 Inhoudsopgave Voorwoord.................................................................................................................................................................. 5 Bijlage: Overzicht vaardigheden als onderdeel van competenties ........................................................... 32 Literatuur, figuren en tabellen.......................................................................................................................... 33 Appendix................................................................................................................................................................. 34 Index .................................................................................................................................................................... 37 Inhoudsopgave • • • • • • 3 4 • • • • • • Functies in de informatiebeveiliging aan functiebenamingen en titels aangetroffen in de internationale literatuur, in regelgeving en in de praktijk bij organisaties. Daarbij kan vaak de vraag worden gesteld in hoeverre het om dezelfde soort functies gaat. Wanneer betreft het een technische functie en wanneer een functie waar meer nadruk wordt gelegd op organisatorische en managementaspecten? En als functies dan naar aard en niveau verschillen, hoe hangen ze dan samen? Ook is het van belang te weten hoe ze zich verhouden ten opzichte van verwante functies op het gebied van beveiligings-, risico- en continuïteitsbeheer. Andere vragen betreffen de eisen die er aan functies kunnen worden gesteld en hoe een carrièrepad in de informatiebeveiliging eruit zou kunnen zien. Voorwoord Er is veel onduidelijkheid over functies in de informatiebeveiliging (in het navolgende als IB-functies aangeduid). Er wordt een grote verscheidenheid Al deze vragen zijn de aanleiding geweest om ordening en profilering aan te brengen. Ook al omdat er steeds meer soorten opleidingen, zowel in het regulier onderwijs, als bij commerciële instellingen ontstaan die beogen professionals op het gebied van informatiebeveiliging af te leveren of bij te scholen. Daarbij hoort dan weer de vraag: welke soort opleiding is passend voor welke functie? Organisaties en onderwijsinstellingen willen duidelijkheid en dat geldt evenzeer voor professionals die in dit vakgebied opereren. Daarom heeft een werkgroep bestaande uit leden van het Genootschap van Informatiebeveiligers (GvIB) en het Platform Informatiebeveiliging (PI) zich ten doel gesteld om deze functieprofilering uit te werken in een visiedocument. Begin 2005 is er een Expertbrief aan deze problematiek gewijd, waarna een evaluatie van functiebeschrijvingen uit de praktijk heeft plaatsgevonden in een Security Café. Dit visiedocument is het vervolgproduct daarvan. Het concept van deze visie is aan bestuur en leden van GvIB en PI voorgelegd, evenals aan vertegenwoordigers van verwante beroepsgroepen, opleidingsinstituten en andere belanghebbenden. Uit de vele reacties zijn discussiepunten geformuleerd en in een workshop met werkgroepleden en vakgenoten besproken. Op basis daarvan is deze definitieve versie opgesteld. Het resultaat is een door vakgenoten gedragen document geworden, dat als handreiking door organisaties en opleidingsinstellingen kan worden gebruikt. Dit visiedocument richt zich niet alleen op vakgenoten en verwante functies, maar ook op het management en de Human Resource Management (HRM)-functies die verantwoordelijk zijn voor de inrichting, werving en selectie van IB-functies. De leden van de werkgroep die dit visiedocument hebben samengesteld, zijn: Bart Bokhorst RE RA, Belastingdienst Drs. Fred van Noord, Verdonck, Klooster & Associates Drs. Gerda van den Brink-Heikamp RE, 3A - Audit en Advies op Afstand Drs. Leo van Koppen, Academie voor ICT Zoetermeer Ing. Renato Kuiper, LogicaCMG Ing. Sebastiaan de Looper, Ernst & Young Dr. ir. Paul Overbeek RE, KPMG Lex Pels, Capgemini Ir. Jeroen de Waal van Zuidema Personeelsmanagement heeft de werkgroep als adviseur voor functieprofilering ter zijde gestaan. Leeswijzer Allereerst wordt de historische ontwikkeling geschetst, waarbij de groeifasen van informatiebeveiliging aan de orde komen. In de hoofdstukken 2 en 3 worden algemene begrippen en uitgangspunten gedefinieerd die bepalend zijn voor de context waarin de IB-functies opereren en de wijze waarop tegen deze functies wordt aangekeken. In hoofdstuk 4 wordt ingegaan op de managementverantwoordelijkheden voor informatiebeveiliging aan de hand van de Code voor Informatiebeveiliging. Vervolgens geeft hoofdstuk 5 een toelichting op de onderkende IB-functies, hun positionering in grote en kleinere organisaties en hun relatie tot verwante functies. Daarbij wordt ook ingegaan op de betekenis van teamvorming voor de IB-functies. In hoofdstuk 6 worden de resultaatgebieden afgeleid uit de Plan-Do-Check-Act methodologie en worden de functieprofielen uitgewerkt. Hoofdstuk 7 gaat kort in op groeipaden en legt de link naar de opleidingen. Uitsluitend ter wille van de leesbaarheid zijn de IB-functies in de mannelijke vorm geschreven. Vrouwelijke collegae mogen zich uiteraard eveneens aangesproken voelen. Voorwoord • • • • • • 5 Managementsamenvatting Het vakgebied informatiebeveiliging heeft de afgelopen decennia een grote vlucht genomen. Dat hangt nauw samen met het voortdurend toenemende belang van geautomatiseerde gegevensverwerking en de daarmee gepaard gaande risico’s voor een integere, vertrouwelijke en ongestoorde informatievoorziening. Die risico’s hebben een extra dimensie gekregen door de explosieve en de mondiale groei van elektronische gegevensuitwisseling tussen mensen en organisaties. Voor veel organisaties is ICT een fors deel van het primaire proces geworden. Het beheersen van informatiebeveiligingsrisico’s heeft onder meer geleid tot een scala aan specialismen binnen het vakgebied. Door de breedte van het vakgebied en de raakvlakken met vele andere vakgebieden zoals IT-audit, risicomanagement, beveiliging en continuïteitshandhaving is er een grote diversiteit ontstaan bij de invulling van functies en functiebenamingen. De hierdoor gegroeide begripsverwarring en de overlappingen van functiegebieden doen afbreuk aan de professionaliteit waarmee invulling aan de informatiebeveiliging moet worden gegeven. Deze professionele invulling is niet alleen van betekenis om risico’s te beheersen, maar biedt juist ook kansen om nieuwe mogelijkheden voor elektronische dienstverlening te benutten met behulp van de expertise van informatiebeveiligingsfuncties. De in dit document uitgewerkte functieprofilering is bedoeld om professionals in de informatiebeveiliging evenals het management van de organisaties waarin zij werken, te ondersteunen bij het bereiken van een volgende fase in de volwassenwording van het vakgebied. Bij het onderscheiden van functies in de informatiebeveiliging staat een aantal criteria centraal: - Business versus ICT - Strategisch, tactisch en operationeel - Generalist versus specialist Op basis hiervan zijn zes hoofdfuncties benoemd, die in samenhang een evenwichtige verdeling van taken in een organisatie geven. Omdat organisaties verschillen in omvang, complexiteit en het belang dat aan informatiebeveiliging wordt gehecht, is in dit visiedocument veel aandacht besteed aan positioneringsmogelijkheden van functies in organisaties en aan samenhang met andere functies in aanpalende vakgebieden. Voor het succesvol implementeren van informatiebeveiliging in een organisatie is de verdeling van verantwoordelijkheden en bevoegdheden voor het beslissen, adviseren en controleren van en over informatiebeveiligingsmaatregelen een basisvoorwaarde. Er is dan ook een brede benaderingswijze gekozen om functies in kaart te brengen die hierin een rol spelen. Alleen op die wijze is het mogelijk voldoende helderheid te krijgen over de afbakening van die functies, waarvoor uiteindelijk een profiel in termen van resultaatgebieden en competenties is opgesteld. Hierdoor wordt het ook mogelijk op allerlei verschillende manieren de vertaalslag naar de eigen organisatie en naar opleidingsbehoeften te maken. Tenslotte worden in het document groeipaden aangegeven voor de onderkende functies. 6 • • • • • • Functies in de informatiebeveiliging Informatiebeveiliging heeft zich voor veel organisaties in de afgelopen decennia ontwikkeld van een ‘nice to have’ tot een ‘must have’. In de jaren zestig ontwikkelde het vakgebied zich eerst langs de lijnen van de schoksgewijze ontwikkeling van ICT. Sinds ICT volledig in bedrijfsprocessen is geïntegreerd, volgt informatiebeveiliging juist de ontwikkeling daarin en is het daarmee ook meer gericht op de externe betekenis van die bedrijfsprocessen. Hieronder wordt die ontwikkeling kort geschetst. IT-beveiliging In het begin van de jaren zestig en zeventig was ICT puur ondersteunend aan de primaire processen. Vrijwel alle beheersingsmaatregelen lagen nog ‘gewoon’ in de bedrijfsprocessen. De activiteiten op het gebied van informatiebeveiliging waren uitbesteed aan het ‘hoofd rekencentrum’. Fysieke Hoofdstuk 1 Van bijrol naar hoofdrol beveiliging was van belang, procedures rond input en output en opdrachten aan het rekencentrum, maar in het centrum van de aandacht stond de technische beveiliging. Deze was voornamelijk gericht op logische toegangsbeveiliging en back-up. Informatiebeveiliging De link tussen techniek en de rest van de organisatie werd steeds duidelijker. Vooral de samenwerking met de andere ondersteunende functies werd als noodzakelijk gezien. Deze kaders zijn bekend als de PIOFAH-functies voor Personeel, Informatisering, Organisatie, Financiën, Administratie en Huisvesting. Het aandachtsgebied ‘informatiebeveiliging’ wordt veelal nog wel getrokken vanuit de IT met de Chief Information Officer (CIO) in de hoofdrol, maar er zijn ‘contactpersonen’ per kader, met de verantwoordelijkheid om informatiebeveiliging binnen het kader te implementeren. Het verband met de primaire processen was nog uiterst dun. Alleen op het gebied van het beheer van autorisaties was het verband wel duidelijk. Informatiebeveiliging was maatregelgericht en had veelal weinig van doen met de daadwerkelijke risico’s. Risicomanagement - servicegericht vanuit het perspectief van de geboden service. De risico’s die inherent zijn aan een service en aan de aanbieder van de service worden geanalyseerd. De afnemer van een service, de ‘gebruiker’, is nog niet in beeld, net als de risico’s die in het gebruik van de afnemer relevant zijn. Aangezien het object een IT-service is, neemt IT in deze vorm van risicoanalyse veelal de ‘lead’. In deze fase wordt het procesdenken steeds belangrijker. Risicomanagement - organisatie- of klantgericht? Dan wordt het gat naar de primaire processen gedicht. In het risicomanagement worden de risico’s ten aanzien van de primaire processen centraal gesteld. Het verbreedt en dekt de gehele organisatie. Men spreekt van enterprise risk management. De ophanging in de organisatie schuift op naar boven. Veelal is de Chief Financial Officer (CFO) of Chief Executive Officer (CEO) portefeuillehouder voor risicomanagement. Compliancemanagement Organisaties zijn steeds minder stabiele, geïsoleerde eilanden. Processen ontwikkelen zich over vele bedrijven heen in ketens, die in meer of mindere mate met elkaar verweven zijn. De noodzaak inzicht te hebben in die afhankelijkheden en de daarmee gepaard gaande risico’s, wordt steeds duidelijker. Met de toenemende internationalisatie wordt het daarbij steeds belangrijker ook binnen organisaties zicht te houden op wat er in alle uithoeken van het bedrijf wordt gedaan of juist wordt nagelaten. Dat kan alleen als verantwoordelijkheden laag genoeg belegd zijn en de rapportages hoog genoeg in de organisatie terechtkomen. Een andere drijfveer is de toenemende invloed van belanghebbenden als aandeelhouders en andere financiers, commissarissen en toezichthouders. Al deze ontwikkelingen leiden tot afspraken in de vorm van externe wet- en regelgeving, Historische ontwikkeling Het begrip service provider (dienstverlener) doet zijn intrede. In het verlengde van de geschiedenis is het eerste dat aandacht krijgt het risico alsook intern beleid of regels, waarover verantwoording moet worden afgelegd. De verantwoordelijkheid voor het voldoen aan de afspraken wordt primair belegd binnen de bedrijfsprocessen bij de verantwoordelijke managers. Deze managers leggen vervolgens verantwoording af en verklaren te voldoen aan de afspraken. Op basis van een consolidatie en verrijking van deze verklaringen kan ook extern verantwoording worden afgelegd. Het compliancemanagement laat niet alleen zien in hoeverre men ‘in control’ is ten aanzien van de afspraken en regels, maar ook of deze beheersing aantoonbaar is. Veranderingen in functies Het aandachtsgebied dat we aanduiden met informatiebeveiliging is in de laatste vijf decennia verrijkt met nieuwe functies. Dat biedt interessante mogelijkheden voor carrièrepaden. De IT-beveiliger van vroeger kan nu compliance officer zijn. De oude functies blijven bestaan, maar zullen moeten samenwerken met andere, nieuwe functies. In dit visiedocument wordt recht gedaan aan de verscheidenheid van functies die in organisaties wordt aangetroffen en daarom staat het uitgangspunt dan ook centraal dat de IB-functies deel uitmaken van een groter geheel en niet geïsoleerd kunnen worden gezien. Historische ontwikkeling • • • • • • 79 8 • • • • • • Functies in de informatiebeveiliging uitgewerkt worden, zal eerst duidelijk moeten zijn wat onder informatiebeveiliging wordt verstaan. Bepaald moet worden welke afbakening wordt gehanteerd, ook om onderscheid met verwante functies te kunnen maken. Informatiebeveiliging kan als volgt worden gedefinieerd: Informatiebeveiliging betreft het definiëren, implementeren, onderhouden, handhaven en evalueren van een samenhangend stelsel van maatregelen die de beschikbaarheid, de integriteit, de vertrouwelijkheid en de controleerbaarheid van de (handmatige en geautomatiseerde) informatievoorziening waarborgen. Het verwerken van gegevens met het oogmerk informatie te kunnen verstrekken ten behoeve van het (be)sturen van organisaties en het kunnen Hoofdstuk 2 Voordat de functies die in het vakgebied informatiebeveiliging kunnen worden onderscheiden, geanalyseerd en naar verschillende invalshoeken afleggen van verantwoording over het gevoerde beheer beperkt zich nadrukkelijk niet alleen tot ICT, maar speelt evenzeer een rol bij gebruikers van ICT, waar handmatige gegevensverwerking plaatsvindt. Met handmatig wordt bedoeld het uitvoeren van administratieve procedures die in de meeste gevallen niet los kunnen worden gezien van de geautomatiseerde verwerking. Hieronder worden kort enkele verwante begrippen besproken die geregeld in verband worden gebracht met informatiebeveiliging, maar die strikt genomen niet onder de definitie van informatiebeveiliging vallen. Deze zijn hier dan ook niet meegenomen in de profilering van de IB-functies. De rijksoverheid positioneert in het Beveiligingsvoorschrift Rijksdienst 2005 het begrip integrale beveiliging, waarbij vanuit een integrale visie op de beveiliging van de Rijksdienst moet worden gekomen tot een afgewogen geheel van organisatorische, personele, bouwkundige en elektronische maatregelen voor de bescherming van de primaire belangen van de rijksoverheid: mensen en informatie. Bedrijfsveiligheid (Safety en Health) maakt daarvan onderdeel uit en het omvat de bedrijfshulpverlening, brandweerzorg, arbeidsomstandigheden en de toepassing van milieuregels. Publieksbeveiliging komt als begrip ook steeds meer naar voren, onder andere bij opleidingsinstituten, waaraan gelijk dan weer het begrip integrale opleidingen verankerde functies bestaan, is er vooralsnog geen behoefte uit te gaan van dit ruimere beveiligingsbegrip. Bovendien gaat het bij integrale beveiliging vooral ook om een bestuurlijk concept dat meerdere disciplines beoogt samen te brengen en in elk soort organisatie of branche met eigen accenten kan worden ingevuld. In dit visiedocument stellen wij wel de positionering van IB-functies aan de orde, maar niet de bepalende factoren voor de organisatie en besturing van informatiebeveiliging. Hierover buigt zich een aparte expertgroep van GvIB en PI. Integriteit kan ook betrekking hebben op integer handelen in het algemeen, zoals bedoeld in geval van ambtelijke integriteit bij overheden of het voorkomen van oneigenlijk gebruik van voorkennis bij beursfondsen en financiële instellingen. De zorg voor het treffen van maatregelen op dit gebied rangschikken wij onder het vakgebied compliance. Uit de definitie van informatiebeveiliging is niet af te leiden waar de maatregelen moeten worden getroffen die bepalend zijn voor het waarborgen van de vier genoemde aspecten in de definitie van informatiebeveiliging. Dat is uiteraard mede bepalend voor de reikwijdte van de IB-functies. Vanuit de best practices, zoals de Code voor Informatiebeveiliging, kunnen de objectgebieden waarin die maatregelen worden getroffen, afgeleid Begrippen en kaders beveiliging wordt gekoppeld. Omdat er voor het behartigen van andere belangen dan informatiebeveiliging diverse aparte, in verenigingen en worden. Zie hiertoe Tabel 1. Objectgebieden informatiebeveiliging Beleid (t.b.v. plannen, standaards, classificatie) Personeel en organisatie Communicatie (t.b.v. bewustwording) Gebouwen en ruimten (t.b.v. fysieke beveiliging) Technische infrastructuur Toepassingen (inrichting en verwerking) ITIL-processen (beheer en exploitatie ICT-services) Systeemontwikkeling Informatiebeveiligingsincidenten Business continuity management Interne controle en audit Tabel 1 Objectgebieden informatiebeveiliging Hiermee wordt duidelijk geïllustreerd dat het behartigen van informatiebeveiliging een brede oriëntatie vergt. Dat komt op een andere wijze eveneens tot uitdrukking in de (internationale) standaards en wet- en regelgeving, die het vakgebied steeds meer gaan bepalen. In Figuur 1 zijn deze in een hiërarchie ondergebracht. Begrippen en kaders • • • • • • 9 Figuur 1 Hiërarchie bepalende kaders voor informatiebeveiliging (vrij naar Gartner) Hieronder volgt een kort overzicht van de belangrijkste kaders voor informatiebeveiliging. Wet- en regelgeving: - Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR) 1994 (nu in herziening). Geeft een beperkt aantal algemene beheersingsuitgangspunten voor informatiebeveiliging en positioneert de Afhankelijkheids- en Kwetsbaarheidsanalyse. - Wet Bescherming Persoonsgegevens (WBP) 2001. Geeft regels voor privacybescherming van personen. Op basis van deze wet is een nadere invulling gegeven aan het taakveld van de functionaris voor de gegevensbescherming via een Handreiking in 2001. - Voorschrift informatiebeveiliging Rijksdienst - bijzondere informatie (VIR-BI) 2004. Geeft voor staatsgeheimen en departementaal vertrouwelijke gegevens beveiligingsmaatregelen per rubriceringsniveau. - Beveiligingsvoorschrift Rijksdienst 2005. Regelt de taken van de beveiligingsambtenaar (BVA) en beveiligingscoördinator. - Sarbanes-Oxley Act of 2002 (SOX). Deze wet legt regels op aan bedrijven die aan een Amerikaanse beurs genoteerd zijn (en haar buitenlandse filialen, of een buitenlands bedrijf met een genoteerde vestiging) en heeft consequenties voor informatiebeveiligingsmaatregelen. - Basel II. Bevat wetgeving op Europees niveau en verplicht banken onder meer tot het beperken van operationele risico’s, zoals fraude rond systemen, mensen en processen of uitval van systemen. - Overige wetten, zoals Wet Computercriminaliteit, Telecomwet, Archiefwet, Auteurswet, Wet Elektronische Handtekening. Governance raamwerken: - COSO Internal Control - Integrated Framework. Een wereldstandaard voor interne beheersing, die zich richt op het vestigen van een eenduidige begripsbepaling voor interne beheersing en het opstellen van een standaard voor het beoordelen van interne beheersingssystemen. - Code Tabaksblat. Bevat zowel principes als concrete bepalingen die de bij een vennootschap betrokken personen (onder andere bestuurders en commissarissen) en partijen (onder andere institutionele beleggers) tegenover elkaar in acht zouden moeten nemen. De principes kunnen worden opgevat als algemene opvattingen over goede corporate governance. De principes zijn uitgewerkt in concrete ‘best practice’-bepalingen. Beheersdoelstellingen: - Control Objectives for Information and related Technology (CobiT), versie 4 is een procesgericht managementinstrument voor de beheersing van de volledige IT-omgeving en dekt alle aspecten van informatie en de ondersteunende technologie af. - ITIL is een procesgerichte ‘best practice’-benadering voor IT-beheer. Binnen het ITIL-raamwerk geeft het proces Security Management de structurele inpassing van beveiliging in de beheerorganisatie van ICT. ITIL Security Management refereert voor de normen en maatregelen aan de Code voor Informatiebeveiliging. - ISO/IEC FDIS 27001:2005 Information technology - Security techniques - Information security management systems - Requirements. Een management raamwerk waarvan ISO/IEC 17799: 2005 (zie hierna) een nadere invulling geeft en dat onder meer wordt gebruikt voor certificering. Normen en maatregelen: - ISO/IEC 17799: 2005 Information technology - Security techniques - Code of practice for information security management. Beter bekend als de Code voor Informatiebeveiliging. De de facto standaard/best practice voor het vakgebied. - Het National Institute of Standards and Technology (NIST) stelt voor de belangrijkste IT-producten uitgebreide en actuele implementatierichtlijnen voor informatiebeveiliging gratis beschikbaar. - Branchespecifieke normen en maatregelen, zoals: * NEN 7510, gebaseerd op de Code voor Informatiebeveiliging en gericht op de zorgsector met een drietal Toetsbare Voorschriften. * Toetsingskader business continuity planning betalings- en effectenverkeer gepubliceerd door De Nederlandse Bank. - Soortspecifieke normen en maatregelen, zoals: * Gedragscodes (ook voor branches) en handreikingen van het College Bescherming Persoonsgegevens. * ISO 15489, standaard voor informatie- en archiefmanagement. 10 • • • • • • Functies in de informatiebeveiliging Informatiebeveiliging is primair een verantwoordelijkheid van het (lijn-)management. De IB-functies ondersteunen het management daarbij. De manager is de enige die verantwoord kan beslissen over de mogelijk tegenstrijdige belangen tussen informatiebeveiliging, efficiency in de procesvoering en de gebruiksvriendelijkheid van informatiesystemen. Informatiebeveiliging kan leiden tot beperkingen van het gebruik van ICTmiddelen en gegevens, terwijl organisaties ook belang hebben bij open communicatie en gebruiksvriendelijke toepassingen. Bij het doen van investeringen in ICT en het halen van deadlines moeten vaak lastige keuzen worden gemaakt tussen informatiebeveiliging, functionaliteit en tijdige oplevering. Daarbij komt nog dat het inbouwen van informatiebeveiligingsmaatregelen in een latere fase meestal aanzienlijk meer inspanningen vergt. Van uitstel komt vaak afstel. Het naleven van informatiebeveiligingsmaatregelen roept bij gebruikers van informatie en informatiesystemen vaak weerstand op in verband met Hoofdstuk 3 3.1 Verantwoordelijkheden de toegangsbeperkingen. Alleen het management heeft de mogelijkheden die beperkingen in het dagelijkse werk van het personeel aan te brengen en te handhaven. Tenslotte is informatiebeveiliging niet los te zien van de context waarin de maatregelen moeten functioneren, zodat daarvoor dus ook geen aparte primaire verantwoordelijkheden (los van die context) zijn te definiëren. Dat geldt niet alleen op managementniveau, maar ook op uitvoerend niveau. Enkele voorbeelden ter illustratie: - Het is zinvol alleen de receptie, die bezoekers opvangt om ze te verwijzen naar hun plek van bestemming, te belasten met het verstrekken van toegangspasjes. - Alleen de systeemontwerper kan de functionele eisen voor integriteitscontroles zinvol vertalen in een functioneel ontwerp en alleen de programmeur kan deze daadwerkelijk inbouwen in de programmatuur. - Gebruikers hebben een eigen verantwoordelijkheid voor het naleven van gedragscodes voor het vertrouwelijk houden van hun wachtwoorden. informatiebeveiligingsaspecten die aan zijn functie of verantwoordelijkheidsgebied worden toegewezen. De IB-functies zijn ervoor om die toewijzing van verantwoordelijkheden binnen een organisatie te expliciteren, te ondersteunen en de doelgerichtheid en evenwichtige samenhang van de maatregelen te bevorderen. De IB-functies zullen hierbij voortdurend de dynamiek van organisaties en hun omgeving evalueren. 3.2 Scheiden van taken Het management zal taken en bevoegdheden (niet de eindverantwoordelijkheden) delegeren naar andere functies. Daarbij moet het management ervoor zorgen dat er aansluitend op de bestaande arbeidsverdeling op een efficiënte en effectieve wijze wordt gebruikgemaakt van mogelijkheden Uitgangspunten Informatiebeveiliging is een integraal aspect van ieders functie, zodat uiteindelijk ook iedereen naar rato verantwoordelijk is voor de om tegengestelde belangen in de organisatie te creëren. Hierdoor kan compliance (het naleven van wettelijke, maatschappelijke en contractuele verplichtingen) worden bevorderd. Met betrekking tot het toekennen van taken en bevoegdheden bij informatiebeveiliging betekent dit het volgende: - Scheiding van beleidsvoorbereiding (in casu planning en normering c.q. regelgeving) en uitvoering (inclusief dagelijks monitoren) van maatregelen. - Naar analogie daarvan scheiden van kaderstellende functies en ontwerpfuncties binnen de architectuur. - Beslissen over maatregelen scheiden van advies, toezicht of controle van die maatregelen. - Het primair adviseren en houden van toezicht scheiden van primair controleren. - Bij voldoende schaalgrootte scheiden van functionele en technische taken. Toezicht versus controle Toezicht houden is iets anders dan controleren. Iemand die adviezen verstrekt of normen stelt zonder na te gaan (toezicht te houden) of ze worden begrepen en nagevolgd door diegenen die het betreft, komt uiteindelijk in een vacuüm terecht met zijn werk, omdat hij dan geen terugkoppeling krijgt. Toezicht houden op de naleving van adviezen of normen kan plaatsvinden door eigen waarneming, door gesprekken met betrokkenen of door documentatie te bestuderen. Het kan ook indirect plaatsvinden door gebruik te maken van ingestelde controles door anderen. Toezicht houden is er niet primair op gericht een objectief en onafhankelijk oordeel te geven. Daar is in organisaties, zeker in het kader van compliance, in veel gevallen nadrukkelijk behoefte aan. Voor een dergelijke oordeelsvorming is vakkennis nodig vanwege het controleren en een onafhankelijke positie. Een medewerker die primair adviseert en anderen ondersteunt bij de selectie van maatregelen zit niet in een ideale positie om onafhankelijk en objectief vast te stellen of de juiste maatregelen zijn getroffen, omdat hij dan zijn eigen adviezen kan tegenkomen. Een controleur die tevens wil adviseren, zal zijn adviezen dan ook moeten beperken tot de omissies die hij heeft vastgesteld vanuit zijn controlefunctie. Hij zal zijn adviezen open en globaal moeten houden, dat wil zeggen; het management de keuze moeten laten. Mandatering In het licht van het voorgaande is het van belang de mandatering van IB-functies aan de orde te stellen. De effectiviteit van een IB-functie kan door het management namelijk aanzienlijk bevorderd worden door bijvoorbeeld in procedures op te nemen dat mijlpaaldocumenten van de proces- en systeemontwikkeling en risicovolle changes in het ICT-exploitatieproces door de IB-functie moeten worden goedgekeurd voordat er mee mag worden doorgegaan. Deze goedkeuringen moeten goed worden verstaan door de organisatie, omdat ze geen beslissende functie mogen inhouden. Als een Uitgangspunten • • • • • • 11 mijlpaalproduct door een IB-functie wordt afgekeurd, moet dat beschouwd worden als een negatief advies aan het management, die de uiteindelijke beslissing over het al dan niet goedkeuren moet nemen. Deze uiteindelijke beslissing kan overigens gedelegeerd zijn aan een stuurgroep of Change Board, waarin alle belangen vertegenwoordigd zijn en de verschillende aspecten in onderlinge samenhang gewogen kunnen worden ten behoeve van evenwichtige besluitvorming. 3.3 Uitbesteding van ICT De uitwerking van de functieprofielen is transparant voor uitbesteding van ICT. Enerzijds betekent uitbesteding dat de IB-functies gewoon mee uitbesteed worden en als zodanig niet veranderen. Anderzijds zullen sommige taken van IB-functies anders uitgevoerd moeten worden als gevolg van uitbesteding. Vooral communicatiepatronen zullen anders zijn en er komt veel meer nadruk te liggen op het contractueel regelen van onderlinge relaties. Tegelijkertijd kan worden gesteld dat er ook binnen grote organisaties gewerkt kan worden op onderlinge contractbasis, waardoor het verschil met uitbesteding gering zal zijn. Daarnaast komt het veelvuldig voor, zeker bij de ICT-organisatie, dat er sprake is van gedeeltelijke uitbesteding van ICT-diensten. Wij volstaan hier met een korte opsomming van de aandachtsgebieden, die hiermee samenhangen: - Eisen op het gebied van informatiebeveiliging opnemen in verzoeken om offertes. - Afspraken maken over informatiebeveiliging, inclusief governance-aspecten in contracten. - Overleg voeren over service-level-rapportages en verantwoordingen over naleving van informatiebeveiligingsnormen. - Evalueren en bijstellen van de contractuele bepalingen. 3.4 Functie-afbakening In de praktijk van organisaties zijn er veel soorten medewerkers die beveiliging of equivalenten daarvan in hun functiebenaming hebben staan. Voorbeelden: - Security Administrator: de functionaris die de logische toegangsbeveiliging van een platform beheert. - Beveiligingsfunctionaris: de functionaris in uniform, die receptie- en bewakingsdiensten levert. - Register Security Expert (RSE): de specialist in het (doen) beschermen van personen en objecten. De vraag is wat bepaalt of er sprake is van een informatiebeveiligingsfunctie, zoals die in dit visiedocument wordt bedoeld. Hoewel het lastig is hiervoor scherp afgebakende criteria te hanteren, is de belangrijkste overweging dat er in ieder geval sprake moet zijn van een functie passend binnen de definitie van informatiebeveiliging (zie 2.2. Begrippen en kaders). Beroep, functie, rol In dit document staat het begrip ‘functie’ centraal. Dat roept de vraag op of we hier ook kunnen spreken over een rol? En wanneer spreken we dan over een beroep? De Werkgroep Functies Bestuurlijke Informatica (WFBI) van het NGI (Nederlands Genootschap van Informatici) die de NGI-publicatie ‘Taken, functies, rollen en competenties in de informatica’ beheert, formuleert het als volgt: ‘Een beroep is de algemeen onderscheiden aanduiding van het geheel aan activiteiten, die geacht worden te behoren tot de door de beoefenaar van dat beroep te verrichten activiteiten’. Tegenover het begrip beroep staat het begrip functie, dat wordt gezien als een organisatie- of branchespecifieke aanduiding van het geheel van iemands beroepsmatige activiteiten. Er bestaan dus ook een functierol, functieresultaten en een functieprofiel. Een rol geeft de positie weer die de houder ervan aanneemt ten opzichte van bepaalde werkzaamheden, bijvoorbeeld uitvoeren, leiden, onderzoeken of adviseren. Een rol kan bepaalde (rol)specifieke competenties vereisen en mede bepalend zijn bij het onderscheid van beroepsniveaus. Wij voegen daaraan toe dat een rol vaak gekoppeld is aan het uitvoeren van bepaalde samenhangende activiteiten in een proces. Dat sluit aan bij het beheersen van logische toegangsbeveiliging, waarbij ook het begrip rol wordt gebruikt. Vooralsnog past het begrip functie het best bij de doelstelling en gekozen benadering van dit visiedocument. Dat neemt niet weg dat de nu onderscheiden functies in kleinschaliger situaties dan waarvan in dit document wordt uitgegaan, vaak als deeltaak door een andere functie kan worden uitgevoerd. In veel organisaties spreekt men dan van het vervullen van een rol. Bij het uitvoeren van een deel van de bij de functies behorende taken, zal in dit visiedocument worden gesproken over taakveld om het onderscheid met rol te behouden. 12 • • • • • • Functies in de informatiebeveiliging voorkomen. Daartoe worden in tabel 2 de objectgebieden voor informatiebeveiliging uitgesplitst zoals deze in hoofdstukken en paragrafen naar voren komen in de Code voor Informatiebeveiliging (ISO/IEC 17799: 2005). De taken, die bij deze primaire verantwoordelijkheden horen, betreffen in het kort: - Het geven van opdracht tot het treffen van informatiebeveiligingsmaatregelen. - Ervoor zorgdragen dat deze maatregelen in stand blijven, dan wel aangepast worden aan gewijzigde omstandigheden. - Het instellen van interne controle op het naleven van de maatregelen, voor zover ze onderdeel uitmaken van menselijk handelen. Hoofdstukken Code Paragrafen Algemene functies 5 Beveiligingsbeleid 6 Organisatie van de informatiebeveiliging 7 Beheer van de bedrijfsmiddelen 8 Personele beveiligingseisen 9 Fysieke beveiliging en beveiliging van de omgeving 11 Toegangsbeveiliging 12 Ontwikkeling en onderhoud van systemen 9.1.1 Fysieke beveiliging van de omgeving 9.1.2 Fysieke toegangsbeveiliging 9.1.3 Beveiligen van kantoren, ruimten en voorzieningen 9.1.4 Bescherming tegen externe bedreigingen en omgevingsgevaren 9.1.6 Publiek toegankelijke ruimten, los- en laadruimten 9.2.1 Plaatsing en beveiliging van apparatuur 9.2.2 Ondersteuningshulpmiddelen 9.2.3 Beveiliging van kabels 9.2.4 Onderhoud van apparatuur 9.2.1 Plaatsing en beveiliging van apparatuur 9.2.2 Ondersteuningshulpmiddelen 9.2.4 Onderhoud van apparatuur 9.2.6 Veilig verwijderen of hergebruiken van apparatuur 9.2.7 Verwijdering van bedrijfseigendommen 9.2.5 Beveiliging van apparatuur buiten het terrein 9.1.5 Werken in beveiligde ruimten 9.2.5 Beveiliging van apparatuur buiten het terrein 10.1 Bedieningsprocedures en verantwoordelijkheden 10.2 Beheer van de dienstverlening door een derde partij 10.3 Systeemplanning en acceptatie 10.4 Bescherming tegen kwaadaardige en ‘mobile code’ 10.5 Reservekopieën 10.6 Beheer van de netwerkbeveiliging 10.7 Behandeling van media 10.10 Controleren 10.7 Behandeling van media Lid concerndirectie Lid concerndirectie Aangewezen eigenaar van die middelen Hoofd HRM Hoofd Facilitaire dienst Lid managementteam ICT Operationeel managers met ondersteuning HRM Lid managementteam ICT Operationeel managers met ondersteuning HRM 10.8 Uitwisseling van informatie 10.9 Diensten op het gebied van elektronische handel 11.1 Bedrijfseisen ten aanzien van toegangsbeveiliging Niet éénduidig toewijsbaar 11.3 Verantwoordelijkheden van gebruikers Operationeel managers met ondersteuning HRM 11.2 Beheer van toegangsrechten van gebruikers 11.4 Toegangsbeveiliging voor netwerken 11.5 Toegangsbeveiliging voor besturingssystemen 11.6 Toegangsbeveiliging voor toepassingen en informatie Lid managementteam ICT (in afstemming met lid concerndirectie) of lid managementteam Business Unit 12.1 Beveiligingseisen voor informatiesystemen 12.2 Correcte verwerking in toepassingen 12.3 Cryptografische beheersmaatregelen 12.4 Beveiliging van systeembestanden 12.5 Beveiliging bij ontwikkelings- en ondersteuningsprocessen 12.6 Beheer van technische kwetsbaarheid Business Unit/Information managent c.q. proceseigenaar Lid concerndirectie of lid managementteam Business Unit Lid managementteam ICT Algemene functies in relatie tot de Code voor Informatiebeveiliging Algemene functies in relatie tot de Code voor Informatiebeveiliging 10 Beheer van communicatie- en bedieningsprocessen Hoofdstuk 4 De primaire, uitvoerende verantwoordelijkheden voor informatiebeveiliging maken onderdeel uit van functies die over het algemeen in organisaties • • • • • • 13 Hoofdstukken Code Paragrafen Lid concerndirectie of lid management team Business Unit 14 Beheer van bedrijfscontinuïteit Lid concerndirectie of lid management team Business Unit 15 Naleving Lid concerndirectie (in afstemming met lid managementteam ICT) Tabel 2 Indicatie primaire taakverdeling voor informatiebeveiliging 14 • • • • • • Algemene functies 13 Beheersing van informatiebeveiligingsincidenten Functies in de informatiebeveiliging Voor het uitwerken van de IB-functies en hun positionering worden grote en complexe informatieverwerkende organisaties als uitgangspunt genomen. Denk daarbij aan banken en verzekeringsbedrijven, grote industriële multinationals en omvangrijke uitvoeringsorganen van de overheid, voor welke het toepassen van ICT in de primaire bedrijfsprocessen een centrale plaats inneemt. Vooral in grote organisaties ontstaat namelijk de problematiek van de afbakening (wie doet wat), van de samenhang (hoe sluiten functies op elkaar aan) en de coördinatie (welke functies zijn richtinggevend aan de andere). Er is van afgezien om vanuit een groei- of volwassenheidsmodel te laten zien hoe de verscheidenheid aan IB-functies is ontstaan, omdat zowel in de praktijk als in theorie veel ontwikkelingspaden zijn gevolgd. Daarnaast zullen er ook kleinere, volwassen organisaties zijn die het prima afkunnen met slechts één of twee IB-functies.De grootste gemene deler van de functies, die in grote, complexe organisaties zijn aan te treffen, zijn gepositioneerd binnen een eenvoudig principeplaatje van een organisatie (zie figuur 2). In dit principeplaatje van een organisatie worden de volgende functies met hun afkortingen en Nederlandse namen onderkend, die in 5.2 verder worden toegelicht: IB-functies Afk. Nederlandse namen Chief Information Security Officer CISO Concernmanager Informatiebeveiliging Information Security Officer ISO Functionaris Informatiebeveiliging Business Information Security Architect BISA Procesarchitect Informatiebeveiliging Information Security Manager ISM Manager Informatiebeveiliging Information Security Architect ISA Informatiebeveiligingsarchitect Technical Information Security Specialist TISS Technisch Informatiebeveiligingsspecialist De IB-functies Figuur 2 Positionering IB-functies Hoofdstuk 5 5.1 De zes IB-functies en hun positionering Tabel 3 De IB-functies Voor de naamgeving is zoveel mogelijk aangesloten bij de internationale terminologie. Met betrekking tot ITIL Security Management hebben we de term Information toegevoegd aan de daar gebruikte functiebenamingen (Security Manager en Security Officer), passend binnen onze benadering om het onderscheid te maken met de (fysieke) beveiligingsfuncties. Bij het onderscheid tussen de functies zijn er twee hoofdlijnen te onderkennen: - Het niveau van het organisatiedeel (strategisch, tactisch of operationeel). - Het werkveld: business of ICT (of beide). Het onderscheid naar niveau vloeit voort uit het belang van centrale sturing op het aspectgebied. Het onderscheid naar de werkvelden business en ICT heeft te maken met het verschil in het kennisgebied en de aard van de te treffen informatiebeveiligingsmaatregelen. De Technical Information Security Specialist wordt binnen de ICT-organisatie als een operationele functie beschouwd, die kan optreden als ontwerper of technisch beheerder. In omvangrijke organisaties, zowel aan de business- als de ICT-kant, kan er behoefte bestaan ook op het operationele niveau functies in te stellen met overeenkomstige taken als de Information Security Officer en de Information Security Manager. In die gevallen kan in functiebenaming onderscheid worden gemaakt door ze aan te duiden als Local Information Security Officer (LISO) en Local Information Security Manager (LISM). Uiteraard krijgen de functies op het tactische niveau als gevolg daarvan dan meer coördinerende taken. In de nu gevolgde benadering voor het onderscheiden van IB-functies is er voor gekozen alleen functies te benoemen binnen organisaties. Dat lijkt geen recht te doen aan de consultancyfuncties die diensten op het gebied van informatiebeveiliging aanbieden aan andere organisaties. Hierover kan opgemerkt worden dat consultancyfuncties meestal ingeschakeld worden om onvoldoende kwalitatieve of kwantitatieve bezetting van de interne IB-functies op te vangen, dan wel éénmalige taken als maatwerk te vervullen, die zich niet lenen voor functieprofilering. Het nu ontwikkelde functieraamwerk kan echter wel gebruikt worden als referentiekader in de consultancypraktijk om gevraagde taken af te bakenen. Bovendien kan geïnventariseerd worden of er sprake is van randvoorwaardelijke taakvervulling door andere IB-functies. Hierdoor kunnen verschillen in verwachtingspatronen tussen vraag en aanbod worden voorkomen. De IB-functies • • • • • • 15 5.2 Toepassen van het organisatiemodel Uitgaande van het betrekkelijk maximale onderscheid in IB-functies, dat als uitgangspunt voor dit visiedocument is genomen, is de vraag interessant hoe met deze functies moet worden omgegaan binnen kleinere organisaties of als informatiebeveiliging minder belangrijk wordt geacht. Er is in dit visiedocument niet voor gekozen om normatieve modellen te ontwikkelen met daarin de optimale verdeling van IB-functies. Er zijn namelijk veel factoren te onderkennen die de inrichting van een organisatie en dus ook de invulling van IB-functies bepalen. Wij verwijzen hiervoor naar de recent uitgebrachte Expertbrief ‘Het inrichten van een beveiligingsorganisatie’, waarvoor nog vervolgactiviteiten gepland zijn. In plaats daarvan is naast het principeplaatje voor de organisatorische positionering van de IB-functies (figuur 2) een relatietabel (zie figuur 4) ontwikkeld die gebruikt kan worden voor het positioneren van IB-functies in kleinere organisaties. De relatietabel gaat uit van de algemene functies die door de IB-functies worden ondersteund. Specialistische functies zullen pas ontstaan als er voldoende schaalgrootte in de organisatie is of het belang van het specialisme daarom vraagt. In de relatietabel zijn alleen die algemene functies opgenomen, waarvoor de IB-functies primair hun ondersteuning leveren. Er zijn dus minder algemene functies in de relatietabel opgenomen dan in tabel 2. Opgemerkt wordt dat niet alleen managers door IB-functies worden ondersteund, maar ook algemene uitvoerende functies. Voorbeelden daarvan: - Een architect informatiebeveiliging ondersteunt een ICT-architect en niet het ICT-management. De architect informatiebeveiliging is te beschouwen als een verbijzondering van de ICT-architect. - Een security administrator is een verbijzondering van een systeem- of toepassingsbeheerder. Een kleinere organisatie zal wellicht niet het onderscheid in drie niveaus kennen, maar bijvoorbeeld twee niveaus, waardoor de tactische IB-functies óf niet van toepassing zijn óf naar het operationele niveau verschuiven. Het belang van het leggen van een relatie met verwante functies, die tevens in de relatietabel zijn opgenomen, heeft te maken met mogelijkheden tot samenvoeging van verschillende taakvelden in één functie bij kleinere organisaties. Bij grote organisaties kan overigens langs de horizontale lijn in de relatietabel nagedacht worden over teamvorming, waarbij verschillende specialismen elkaar kunnen versterken. Wij komen hierop nog terug in dit visiedocument. In de praktijk worden ook functies aangetroffen, bijvoorbeeld op basis van regelgeving, waarbij een deelgebied van de informatiebeveiliging als specialisme wordt uitgeoefend. Zie de kolom Taakvelden en deelgebieden informatiebeveiliging in de relatietabel. Dat kan een gedeelte zijn van het beveiligingsproces (zie paragraaf 6.1), zoals een beleidsmedewerker die kan vervullen of een gedeelte van de objectgebieden, zoals bij de Functionaris voor de Gegevensbescherming. Voornamelijk de Technical Information Security Specialist zal op operationele deelgebieden van informatiebeveiliging worden ingezet. Ook hierop wordt nog teruggekomen. grotere organisaties Algemene functies met informatiebeveiligingstaak F U N C T I E S P E C I A L I SAT I E Deels overlappende en verwante functies Functies Informatiebeveiliging Taakvelden en deelgebieden informatiebeveiliging STRATEGISCH NIVEAU G E L A AG D H E I D O R GA N I SAT I E - Lid concerndirectie - Risico Manager Chief Information Security - Business Continuity Manager Officer - Compliance Officer - Quality Assurance Manager - Intern of IT-auditor (niet met IB-functies combineren!) - Enterprise Information Architect Business Information Security Architect - IT-architect Information Security Architect - Beleidsmedewerker Informatiebeveiliging - Functionaris Gegevensbescherming (volgens WBP) TASTISCH NIVEAU BUSINESS UNIT - Lid managementteam - Interne Controle medewerker - AO (/IC) functionaris Information Security Officer Business Information Security Architect - Information Architect TACTISCH NIVEAU/DEVELOPMENT ICT - Lid managementteam - Interne Controle medewerker - AO (/IC) functionaris - Kwaliteitsmedewerker - IT-architect Information Security Manager Information Security Architect OPERATIONEEL NIVEAU ICT - Systeem Specialist - Applicatie beheerder - Technisch beheerder Tabel 4 Relatietabel functies in de informatiebeveiliging 16 • • • • • • Functies in de informatiebeveiliging Technical Information Security Specialist - Cryptografie specialist - Security Administrator - CERT-medewerker - Ethisch hacker, etc. Chief Information Security Officer (CISO) De Chief Information Security Officer acteert op het hoogste managementniveau en moet dus in de eerste plaats de taal van het management verstaan en spreken. Hij communiceert zowel met de concernleiding als de leiding van Business Units en met de leiding van ICT. In hoeverre hijzelf als direct leidinggevende fungeert, hangt af van eventuele centrale teamvorming van beveiligingsfunctionarissen, waarbij aan medewerkers met verschillende achtergrond en specialisatie leiding moet worden gegeven. De Chief Information Security Officer geeft functioneel leiding aan het werk van de IB-functies op lagere niveaus. Op het gebied van informatiebeveiliging is hij duidelijk een generalist, die op hoofdlijnen de verbanden tussen de verschillende bedrijfs- en beveiligingsbelangen moet kunnen leggen. Hij bestrijkt alle objectgebieden, zie Tabel 1. Hij moet in staat zijn tegengestelde belangen met elkaar te verenigen, waarbij hij de adviezen van verschillende deskundigen en de belangen van het management op hun waarde moet kunnen beoordelen. Dit alles om een goede adviseur te zijn voor de concernleiding. Hoofdstuk 5 5.3 De zes IB-functies nader toegelicht Information Security Officer (ISO) De Information Security Officer werkt vanuit kaders die op concernniveau worden vastgesteld. Uiteraard zal hij bij het onderhoud van die kaders worden betrokken, maar hij richt zich toch vooral op de naleving daarvan in de operationele processen. De Information Security Officer ontleent zijn toegevoegde waarde aan zijn kennis van de Business Unit en de vertaalslag die moet worden gemaakt van algemene IB-normen naar de specifieke bedrijfssituatie. Die algemene IB-normen hebben vooral betrekking op personeel en organisatie, communicatie (ten behoeve van bewustwording), gebouwen en ruimten (ten behoeve van fysieke beveiliging), informatiebeveiligingsincidenten en de invulling van business continuity management in de Business Unit. Business Information Security Architect (BISA) De Business Information Security Architect heeft als beveiligingsspecialist de business en processen als werkveld. Als hij op concernniveau acteert, nemen de generieke concerntoepassingen daarbij uiteraard een belangrijke plaats in, zoals Enterprise Resource Planning pakketten, functionele aspecten van internet, mail, portals, elektronische berichtendiensten en dergelijke. De Business Information Security Architect is vooral actief in handhaven van informatiebeveiligingsuitgangspunten. De Business Information Security Architect kan meerdere invalshoeken kiezen voor zijn taakvervulling, zie figuur 3. Hij kan een informatiebeveiligings(deel)architectuur opleveren en onderhouden en verder adviseren en toezien op implementatie daarvan in andere architecturen en in proces- en ICT-ontwerpen. Binnen deze benadering is het globaal ontwerpen van generieke beveiligingsfunctionaliteiten een verdergaande invulling. Als de Business Information Security Architect zich daarentegen in eerste instantie als adviseur en toezichthouder opstelt, zal dat betekenen dat de functie ertoe bijdraagt dat in alle andere architecturen informatiebeveiliging wordt ingebed als één van de kwaliteitsaspecten. Wel dient het aspect apart zichtbaar te worden gemaakt in de architecturen en ontwerpen, bijvoorbeeld in een beveiligingsparagraaf. Op basis van de eerder geformuleerde uitgangspunten wordt er bij deze functie vanuit gegaan dat het opstellen van ontwerpkaders op het hoogste niveau en het uitoefenen van toezicht op de naleving daarvan bij voorkeur is te scheiden van het ontwerpen van deelarchitecturen en functionele De IB-functies de eerste fasen van proces- en systeemontwikkeling. In onderhouds- en evaluatiefasen van processen en informatiesystemen zal hij toezien op het ontwerpen op het gebied van informatiebeveiliging. Deze onverenigbaarheid komt het meest naar voren bij het ontwerpen van IB-functionaliteiten. Figuur 3 Invalshoeken informatiebeveiliging in relatie tot de architecturen Information Security Manager (ISM) De Information Security Manager heeft binnen het werkveld ICT soortgelijke taken als de Information Security Officer. Hij heeft echter niet alleen de algemene concernrichtlijnen op het gebied van informatiebeveiliging te borgen zoals die voor Business Units gelden, maar ook die specifiek zijn voor de ICT-organisatie. Belangrijke aandachtgebieden daarbij zijn de interne beheer- en exploitatieprocessen van ICT en de technische infrastructuur. Meer dan bij Business Units zal hij te maken kunnen krijgen met uitbestedingssituaties en het ten behoeve van derden aantonen dat de beveiligingsnormen De IB-functies • • • • • • 17 ook daadwerkelijk worden nageleefd. Ook zal het eerder aan de orde komen dat hij functioneel leiding moet geven aan andere IB-functies. Mede om dergelijke redenen is in zijn functieprofiel uit gegaan van zwaardere competentie-eisen. Information Security Architect (ISA) Wat hiervoor is vermeld over de Business Information Security Architect is in hoge mate eveneens van toepassing op de Information Security Architect. Met betrekking tot ICT betreft het verschil met de Business Information Security Architect de technische oriëntatie van de Information Security Architect en de grotere nadruk op de technische infrastructuur. In Figuur 4 wordt dit op andere wijze duidelijk gemaakt. Figuur 4 Samenhang en onderscheid IB-architectenfuncties Technical Information Security Specialist (TISS) De Technical Information Security Specialist vervult in beginsel taken op het operationele niveau binnen de ICT-organisatie. In dit visiedocument dient deze functie als overkoepelende kapstok voor een reeks functies, die verder worden toegelicht in paragraaf 5.5 Specialistische functies. 5.4 Verwante functies In de praktijk kan een grote verscheidenheid aan verwante en/of overlappende functies worden aangetroffen al naar gelang omvang, volwassenheid of branche van een organisatie. Om tot een effectieve en efficiënte taakvervulling (ook voor de verwante functies) te komen, is het noodzakelijk de samenhang en de verschillen goed af te bakenen. Door hun onderlinge posities goed te regelen, kunnen functies elkaar versterken, maar ze kunnen elkaar ook verzwakken als ze - al dan niet doelbewust - elkaars functies (deels en met andere uitgangspunten) vervullen. Daarom wordt hier een korte typering van die verwante en/of overlappende functies gegeven om zo het onderscheid met de functies in de informatiebeveiliging goed te kunnen maken. In de figuren 5 en 7 is op zeer vereenvoudigde wijze in kernwoorden aangegeven welke overeenkomsten en verschillen te onderkennen zijn binnen de verwante vakgebieden ten opzichte van de IB-functies. De Risicomanager (Risk Manager) De Risicomanager heeft een breder werkveld dan informatiebeveiliging, want risico’s zijn niet alleen verbonden aan gegevensverwerking, maar ook inherent aan de bedrijfsvoering. Er zijn tal van bedrijfsrisico’s, zoals projectrisico’s, milieurisico’s, financieringsrisico’s, productrisico’s, politieke en maatschappelijke risico’s. De Risicomanager zal de diverse managementlagen in de organisatie ondersteunen bij het beheersen van deze risico’s door risicoanalyses te faciliteren, de plancyclus op gang te brengen en te houden en het toezien op de rapportage daarover. Al naar gelang de bedrijfstypologie zal de toepassing van ICT hierbij een belangrijk aandachtspunt vormen. De Business Continuity Manager (BCM) De Business Continuity Manager behartigt onder meer een deelaspect van de informatiebeveiliging. Het doel van Business Continuity Management is het nastreven van de continuïteit van bedrijfsprocessen bij calamiteiten. Door het laten uitvoeren en begeleiden van business impact analyses en risicoanalyses zal hij de uitgangspunten voor de continuïteitsmaatregelen onderbouwen. Dat betekent onder andere dat hij die activiteiten goed zal moeten afstemmen met de Risk Manager. De Business Continuity Manager is vooral gericht op de repressieve (schadebeperkende) maatregelen op het gebied van beschikbaarheid onder meer voor alle objecten, die ook voor informatiebeveiliging in beschouwing worden genomen. Andere objecten betreffen bijvoorbeeld productiemiddelen in het primaire productieproces. Vaak worden ook de op de veiligheid van het personeel gerichte maatregelen (zoals ontruiming) meegenomen in geval van calamiteiten. De Business Continuity Manager zal de tactische en de operationele richtlijnen ten aanzien van de continuïteitshandhaving ontwikkelen en onderhouden. 18 • • • • • • Functies in de informatiebeveiliging apart specialisme is te beschouwen, ook gezien de eigen internationale standaards en instituten. Met de IB-functies zal hij zijn werkzaamheden goed moeten afstemmen, omdat deze laatsten de preventieve beschikbaarheidsmaatregelen (wellicht beter kunnen) behartigen onder meer vanwege hun betrokkenheid bij architecturen en ontwerpen. De Compliance Officer Het betreft hier een relatief nieuwe en ruimere functie dan een IB-functie, die is ontstaan vanuit de vergaande regelgeving waaraan organisaties moeten of willen voldoen. Compliance, het aantoonbaar naleven van regelgeving, kan per organisatie een verschillende betekenis hebben. Het kan gaan om wettelijke regelingen, bijvoorbeeld op het gebied van kartelvorming, marktmisbruik en in dat kader de Regeling Privé-beleggingtransacties Hoofdstuk 5 De Business Continuïty Manager neemt niet alleen de Risk Manager, maar uiteraard ook de IB-functies een belangrijk taakveld uit handen, dat als (Complianceregeling AFM), branchegebonden regels (Basel II voor de banken), ondernemerscodes voor Corporate Governance, zelf opgelegde regels (bijvoorbeeld ISO 900x.-serie voor kwaliteit in algemene zin), interne policies en het naleven van contracten. Vooral bij het handhaven van de persoonlijke integriteit van medewerkers op gevoelige functies kunnen aan de Compliance Officer op grond van wettelijke regelingen (bijvoorbeeld bij financiële instellingen) speciale bevoegdheden zijn toegekend om zijn taak uit te oefenen. Het beheersingsproces om aan regels te voldoen, vertoont vanuit de compliance benadering per definitie verwantschap met het proces van informatiebeveiliging, waarbij normen nageleefd moeten worden. Daarnaast impliceren sommige regelingen tevens regels voor informatiebeveiliging. Afhankelijk van het werkveld van de Compliance Officer zal afstemming met de IB-functies noodzakelijk zijn. De Manager Kwaliteitszorg (Quality Assurance Manager) Kwaliteit heeft met inherente eigenschappen van processen en producten te maken, waarbij informatiebeveiliging als subset van het geheel van de te onderkennen aspecten en eigenschappen kan worden gezien. Als een organisatie aan veel genormeerde kwaliteitsaspecten moet voldoen, bijvoorbeeld vanuit wettelijke, branche- of marktgerichte eisen, kan dat voor organisaties betekenen dat hiervoor een kwaliteitssysteem met bijbehorende medewerkers ‘mee te liften’ en (deels) hierin te integreren. De IB-functies voor advies en toetsing in het leven moet worden geroepen. In dergelijke situaties kan het een voordeel voor de informatiebeveiliging zijn om daarop Figuur 5 Samenhang en onderscheid met verwante functies - 1 De Beveiligingsmanager Bij de afbakening van het begrip informatiebeveiliging in paragraaf 2 is al de link gelegd met de diverse, andere beveiligingsbegrippen, die betrekking kunnen hebben op fysieke, publieke, personen-, bedrijfs- of integrale beveiliging. In het verlengde daarvan zijn evenzoveel functies ontstaan onder de noemer van ‘beveiliging’ al dan niet voorzien van verschillende adjectieven. In ieder geval bestaat er bij het objectgebied fysieke beveiliging een overlap. Afhankelijk van de wijze van invulling van het beveiligingsbegrip in een organisatie of branche kan er wellicht meer overlap van objectgebieden zijn. Onderlinge afstemming is dus noodzakelijk en gezamenlijk optrekken of aangestuurd worden, kan tot wederzijds voordeel strekken omdat er zodoende meer gewicht in de schaal kan worden gelegd. De IT Auditor De (interne) IT-auditor vervult primair een controlerende functie. Dit in tegenstelling tot de IB-functies (met uitzondering van de Technical Information Security Specialist), die primair een adviserende rol hebben. De IT-auditor bestrijkt tenminste dezelfde objectgebieden als die van de IB-functies. Indien de controle op naleving van normen voor informatiebeveiliging in Business Units door (interne) algemene auditors in plaats van IT-auditors wordt uitgevoerd, maken we daar in dit visiedocument omwille van de eenvoud geen onderscheid in. De IT-auditor geeft naar aanleiding van geconstateerde bevindingen zodanige adviezen, dat de voor informatiebeveiliging primair verantwoordelijken zelf de implementatiekeuze kunnen maken. Figuur 6 brengt de verschillende taken van beide functiegebieden in relatie tot informatiebeveiliging in beeld. De IB-functies • • • • • • 19 Figuur 6 Verschillende taken voor hetzelfde objectgebied In hoofdlijnen kan de IT-auditor zijn functie op twee wijzen vervullen. Of op een terughoudende wijze, waarbij hij altijd gevraagd moet worden om een opdracht te vervullen. Of op proactieve wijze, waarbij hij namens het topmanagement permanent in de gaten houdt of er blijvend aan informatiebeveiligingsnormen wordt voldaan en hierover adviezen uitbrengt. Bij certificering van informatiebeveiliging, vooral ten behoeve van derden en dat is bij informatiebeveiliging veelvuldig aan de orde, past daarentegen een wat meer terughoudende taakvervulling. In dat geval zal hij zijn advieswerk zoveel mogelijk beperken. De proactieve invulling van taken door de IT-auditor kan betekenen dat hij (in plaats van de IB-functie) een goedkeurende rol vervult ten aanzien van IB-aspecten in ontwerpen van ICT-voorzieningen of door het uitvoeren van audits op vitale ICT-projecten, waarvoor hij een permanente opdracht heeft. Hij wordt geacht dan zelf vanuit managementoptiek belangrijke ontwikkelingen in de gaten te houden en audits in te stellen wanneer hij dat vanuit de bedrijfsbelangen nodig acht. Dit vergt overigens wel een nadrukkelijk mandaat van het topmanagement en een hoge beschikbaarheid van de functie. De IT-auditor kan bijvoorbeeld ook de architecturen mede als toetsingskader gebruiken. De proactieve benadering hangt samen met de behoefte van het management om zo objectief mogelijk zekerheden te krijgen dat tijdig de juiste IB-maatregelen worden getroffen. Het mag duidelijk zijn dat de mate waarin er een proactieve rol van de IT-auditor wordt gevraagd mede afhankelijk is van de bedrijfstypologie en de wijze waarop de IB-functies in het ontwikkeltraject worden ingezet en zijn gepositioneerd. De twee functies kunnen elkaar goed aanvullen, maar ook voor een deel overlappend werk doen. Er zullen dus goede afspraken moeten worden gemaakt over de onderlinge positionering. De medewerker Administratieve Organisatie en Interne Controle (AO/IC-medewerker) Een functionaris die op een geheel andere wijze van betekenis kan zijn voor de informatiebeveiliging is de medewerker Administratieve Organisatie en Interne Controle, verder aan te duiden als AO/IC-medewerker. Deze functionaris vervult een adviserende rol bij de inrichting van bedrijfsprocessen, terwijl hij meestal ook registratieve taken vervult door het systematisch vastleggen van processen en soms ook werkinstructies. Als de ontwerpen voor procesinrichting door procesarchitecten worden gemaakt, zal hij meer op het operationele niveau in een organisatie(deel) werkzaam zijn en een toetsende rol kunnen vervullen om vast te stellen dat de procesbeschrijving compleet en logisch is, aansluit bij andere processen binnen een organisatiedeel en dat bijvoorbeeld aan eisen van functiescheiding wordt voldaan. Als specialist op het gebied van operationele processen en handmatige procedures kan hij zorgdragen voor verankering van de handmatige IB-maatregelen in de dagelijkse werkprocessen. Tenslotte kan hij een toezichthoudende rol vervullen ten aanzien van het tijdig en volledig documenteren van procesbeschrijvingen bij organisatieveranderingen en invoering van nieuwe of gewijzigde informatiesystemen. Kortom; een voor de beheersing van een deelgebied van de informatiebeveiliging onmisbare functie. De Kwaliteitsmedewerker bij systeemontwikkeling (Quality Assurance medewerker IT) Veel ICT-organisaties kennen de functie van kwaliteitsmedewerker binnen het proces van ontwerp en onderhoud van processen en ICT-voorzieningen. De Kwaliteitsmedewerker richt zich zowel op het proces van ontwerpen en onderhouden als op de daaruit voortkomende producten, zoals fasedocumenten. Hij draagt zorg voor de Methoden, Technieken, Hulpmiddelen en Voorschriften (MTHV’s) en adviseert in de ontwikkelings- en onderhoudsprojecten over de toepassing hiervan. Hij hoeft zelf niet altijd voor alle aspecten de inhoudelijke specialist te zijn op het gebied van productkwaliteit, maar hij is wel belast met de zorg dat deze in voldoende mate worden meegenomen in de ontwerpen. Hij heeft ook een toezichthoudende taak op de naleving van de voorschriften. Als de kwaliteitsmedewerker zich baseert op ISO 9126 voor productkwaliteit in ICT ontstaat er overlapping en mogelijk frictie met productgerichte normen vanuit informatiebeveiliging omdat definities van deelaspecten niet altijd overeenstemmen. De Kwaliteitsmedewerker kan voor de informatiebeveiliging in ieder geval de belangrijke taak vervullen om te borgen dat er voldaan wordt aan de procesgerichte IB-normen. Duidelijk is dat de twee soorten functies hun werk onderling moeten afstemmen. 20 • • • • • • Functies in de informatiebeveiliging Hoofdstuk 5 Figuur 7 Samenhang en onderscheid met verwante functies - 2 De Interne Controle-medewerker (IC-medewerker) van processen en procedures zoals die door de AO/IC-medewerker worden gedocumenteerd. De IT-auditor kan onder voorwaarden goed gebruikmaken van deze functie. Naar aanleiding van zijn bevindingen kan de IC-medewerker ook advies geven. Een werkverdeling met de algemene IB-functies zou kunnen zijn dat de beoordeling van en advisering bij de inrichting van processen tot de taak van de IB-functie wordt gerekend, omdat deze het geheel en de onderlinge samenhang van de IB-maatregelen wil bewaken. Dat geldt vooral bij processen waarbij ICT en informatiebeveiliging belangrijk zijn. De IC-medewerker kan dan adviseren bij nalevingsvraagstukken (de werking van de processen). De controlebevindingen van de IC-medewerker zijn input voor de evaluatie van de IB-functie. 5.5 Specialistische functies In de relatietabel (tabel 4) is een aantal functies weergegeven, die als een specialisme binnen de IB-functies kunnen worden aangemerkt. Dat kan De IB-functies De functionaris belast met Interne Controlewerkzaamheden richt zich vooral op de routinematige controles op de werking van processen ofwel de naleving betekenen dat een gedeelte van de taken wordt uitgevoerd, al dan niet in combinatie met andere specifieke taken, of dat de taken zich op specifieke objecten of deelgebieden richten. Ook combinaties daarvan komen voor. Enkele bekende functies worden hier kort toegelicht. Beleidsmedewerker Informatiebeveiliging In grote organisaties en vooral bij overheidsinstellingen komt het voor dat speciale afdelingen zich richten op het ontwikkelen en onderhouden van beleid, terwijl de uitvoering daarvan wordt overgelaten aan werkmaatschappijen of uitvoeringsorganen. De Chief Information Security Officer zal zich in dergelijke omstandigheden hoofdzakelijk beperken tot het resultaatgebied Beleid (zie hoofdstuk 6). Functionaris voor de Gegevensbescherming (FG) Bedrijven, brancheorganisaties, overheden en instellingen hebben de mogelijkheid zelf een interne toezichthouder op de verwerking van persoonsgegevens aan te stellen: de Functionaris voor de Gegevensbescherming. Deze functionaris houdt dan binnen de organisatie toezicht op de toepassing en naleving van de Wet Bescherming Persoonsgegevens (WBP) en heeft wettelijke taken en bevoegdheden en daarmee een onafhankelijke positie in de organisatie. Het Genootschap van Functionarissen van de Gegevensbescherming geeft in een handreiking een beschrijving van de taken, die wij hier verkort weergeven: Verplichte taken: - Toezicht: de functionaris ziet toe op de naleving van de wettelijke regels over het verwerken van persoonsgegevens binnen zijn organisatie. - Verslaggeving: de FG heeft de wettelijke taak jaarlijks een verslag op te stellen van zijn werkzaamheden en bevindingen. - Meldingenregister: als een organisatie een FG heeft aangesteld, kunnen de verwerking(en) van persoonsgegevens bij de FG worden gemeld, in plaats van bij het College Bescherming Persoonsgegevens (CBP). Optionele taken: - Inventarisatie: de FG kan een ondersteunende rol vervullen bij het in kaart brengen van alle verwerkingen van de organisatie en daarbij aangeven wat daarbij ‘verwerkingen’ zijn in de zin van de WBP. - Voorlichting: binnen zijn organisatie kan de FG voorlichting geven over de omgang met persoonsgegevens en adviseren over kwesties die samenhangen met het verwerken daarvan. - Technologie en beveiliging: de FG kan de organisatie adviseren bij het realiseren van het passende niveau van informatiebeveiliging. - Klachtbehandeling en bemiddeling: de behandeling van klachten over het gebruik van persoonsgegevens kan deel uitmaken van het takenpakket van een FG. - Normontwikkeling: binnen een organisatie of een branche kan behoefte ontstaan aan normen/gedragscodes die zijn toegesneden op de specifieke verwerkingen binnen de organisatie of branche. De FG kan die ontwerpen. De IB-functies • • • • • • 21 Persoonsgegevens maken onderdeel uit van de gegevens waarvoor een organisatie informatiebeveiligingsmaatregelen treft. Bij een volwaardige invulling van de IB-functies in een organisatie is er een duidelijke overlap in taakvelden te constateren. De taakvelden van de FG kunnen in principe geheel worden ondergebracht bij die van een Chief Information Security Officer of Information Security Officer. Ook is het bijvoorbeeld mogelijk de taken met betrekking tot verslaggeving, meldingenregister en klachtbehandeling van de FG onder te brengen bij een medewerker van Juridische Zaken, uiteraard in nauwe samenwerking dan wel afstemming met de hiervoor genoemde IB-functies. Verschijningsvormen van Technical Information Security Specialist De Technical Information Security Specialist kan zich op veel verschillende objectgebieden en bij diverse processen manifesteren. De behoefte aan zijn specialisme zal afhangen van de stand van de techniek, de schaal waarop wordt gewerkt en het belang dat informatiebeveiliging heeft. Volstaan wordt met een indicatieve opsomming. Bekende objectgebieden betreffen: - Cryptografie - Netwerkbeveiliging, waaronder firewalls, intrusion detection en prevention, malware, informatiebeveiliging in protocollen - Informatiebeveiliging in applicaties - Logging en monitoring - Incidentonderzoek en afhandeling, bijvoorbeeld bij een Computer Emergency Response Team - Logische toegangsbeveiliging (Identificatie-, Authenticatie- en Autorisatietoepassingen) Deze objectgebieden kunnen aan de orde zijn bij systeemontwikkeling en -onderhoud, maar ook bij implementatie, beheer en exploitatie. Dat betekent dat de Technical Information Security Specialist als ontwerper, technisch beheerder, maar ook als Security Administrator voor logische toegangsbeveiliging of certificatenbeheerder bij Public Key Infrastructures kan optreden. Een specifieke functie-invulling is ook die van Ethisch Hacker, waarbij hij vanuit een onafhankelijke positie in live-situaties de beveiliging van infrastructuren en internetapplicaties kan testen en advies verstrekt om geconstateerde leemten op te lossen. Een andere invulling betreft de Digitale Rechercheur, die een grondige kennis moet hebben van veel van de hiervoor vermelde objectgebieden en die bijvoorbeeld ook binnen particuliere organisaties zijn werkveld kan hebben. In dit visiedocument is het minder passend te streven naar een volledige en actuele opsomming van deze operationele, gespecialiseerde functies. 5.6 Teamvorming In de praktijk worden vaak teams van specialisten uit meerdere disciplines gevormd om op diverse fronten synergie te bereiken. Het kan ervoor zorgen dat activiteiten beter op elkaar worden afgestemd, dat er onderlinge stimulansen ontstaan en dat éénzelfde aanpak wordt gevolgd bij het benaderen van de doelgroepen, die vaak hetzelfde zijn. Ook uit de éénduidige aansturing van dergelijke specialisten kan een belangrijk voordeel voor een organisatie worden behaald. Een team heeft meestal een sterkere positie dan een éénling in een organisatie. Een team kan zich onafhankelijker opstellen en zich beter naar het management op de diverse niveaus binnen een organisatie profileren. En last but not least: een team kan de nadelen van ver doorgevoerde functiedifferentiatie beter opvangen. Op uitvoerend niveau ziet men vaak door de bomen het bos niet meer als men advies wil of een probleem opgelost wil hebben. Bij wie van de vele verschillende soorten deskundigen moet men te rade gaan? Het combineren van functies kan zowel betrekking hebben op de combinatie met verwante functies als op het samenbrengen van IB-functies zelf. Dat laatste kan aan de orde zijn als een ICT-organisatie of Business Unit te groot is voor een enkele Information Security Manager, dan wel Information Security Officer. Indien er een team van IB-specialisten wordt gevormd, ontstaan er mogelijkheden tot specialisatie en wel naar de verschillende objectgebieden of naar vestigingen, afdelingen of resultaatgebieden. Binnen een team ontstaan ook goede mogelijkheden voor het volgen en begeleiden van carrièrepaden of het voorbereiden op IB-functies elders binnen de organisatie. Bij teamvorming is het van belang om attent te zijn op onverenigbare functies (zie hoofdstuk 3 Uitgangspunten). Teamvorming zal gevolgen hebben voor de organieke plaats. Deze is bij voorkeur neutraal ten opzichte van de belangrijkste belanghebbenden om bevoordeling van of een onevenwichtige beïnvloeding door één organisatiedeel te voorkomen. Tegelijkertijd kan de organisatorische afstand weer een zeker risico vormen bij de acceptatie van richtlijnen, adviezen of uitkomsten van toetsingen. 22 • • • • • • Functies in de informatiebeveiliging Voor het beschrijven van functies worden taken gegroepeerd naar resultaatgebieden. Voor het onderkennen van de resultaatgebieden van informatiebeveiliging wordt aangesloten bij de processtappen van de cyclus: Plan - Do - Check - Act, zie figuur 8. Op de drie niveaus in de organisatie liggen de accenten per fase niet gelijk. Op strategisch niveau is Plan het belangrijkste, op het tactisch niveau Do en op operationeel niveau Check. Op elk niveau is de inhoud van de fasen in de cyclus uiteraard een andere, maar ze moeten wel op elkaar aansluiten. Alleen bij de Technical Information Security Specialist is deze cyclische benadering van de resultaatgebieden in een functie minder van toepassing gezien de verscheidenheid aan inzetmogelijkheden die op deze functie van toepassing is. Verder past nog de kanttekening dat de Do-fase voor de meeste IB-functies betekent dat zij daar hun adviserende en toezichthoudende taken vervullen, omdat de implementatie van informatiebeveiligingsmaatregelen zelf een uitvoerende taak is. De taken per resultaatgebied worden hieronder in trefwoorden weergegeven in tabel 5, waarbij de naamgeving enigszins is aangepast aan meer gangbare termen voor functieprofielen. De vier processtappen van de cyclus worden in het Nederlands aangeduid met: Beleid - Implementatie - Evaluatie - Onderhoud. Daar wordt Leidinggeven als extra resultaatgebied aan toegevoegd. Resultaatgebied Kernbegrippen in taakstelling Beleid (Plan) - Opstellen IB-strategie en -architectuur - Ontwikkelen IB-normenkaders en -uitvoeringsvoorschriften - Maken informatiebeveiligingsplan Leidinggeven - Functioneel leidinggeven - Optreden als projectleider IB-projecten Implementeren (Do) - Implementatie IB-maatregelen (alleen TISS) - Adviseren en toezien op implementatie IB-maatregelen - Bevorderen IB-bewustzijn - Uitvoeren risicoanalyse Evalueren (Check) - Toezien dat interne controle en audits plaatsvinden en bevindingen worden opgelost - Uitvoeren eigen onderzoek - Afhandelen informatiebeveiligingsincidenten Onderhouden (Act) - Aanpassen Beleid - Aanpassen (adviezen) Implementeren IB-maatregelen Functieprofilering Figuur 8 Resultaatgebieden in het proces informatiebeveiliging. Hoofdstuk 6 6.1 Resultaatgebieden Tabel 5 Taakoverzicht op hoofdlijnen per resultaatgebied In het navolgende hoofdstuk worden de functieprofielen van de in dit visiedocument onderkende IB-functies nader uitgewerkt. 6.2 Functiemodel Naast de hiervoor besproken resultaatgebieden als de kern van het functieprofiel wordt daaraan voorafgaand het doel van de functie in één regel gedefinieerd, aangegeven aan welke functie er in principe wordt gerapporteerd en de functiecontext weergegeven. Met dit laatste wordt de functie in zijn omgeving gepositioneerd en de belangrijkste functiebestanddelen en eventuele bijzondere omstandigheden kort aangeduid. De resultaatgebieden worden op basis van tabel 5 kernachtig uitgewerkt en aangevuld met een opsomming van de interne en externe contacten, die door de functie worden onderhouden. Tenslotte worden de competenties in termen van opleidingsniveau, vereiste kennisgebieden en vaardigheden uitgewerkt. De vaardigheden, die voor het geheel aan IB-functies relevant zijn, worden in de bijlage nader toegelicht. De functieprofielen zijn in Word-formaat te downloaden van de websites www.gvib.nl en www.pi4ib.nl Functieprofilering • • • • • • 23 6.3 Functieprofielen Functienaam: Chief Information Security Officer (CISO) | Afdeling: Concernstaf | Rapporteert aan: lid concerndirectie Doel van de functie Het ontwikkelen van strategie en beleid gericht op informatiebeveiliging. Bevorderen en coördineren van de ontwikkeling van uitvoeringsrichtlijnen en toezien op de realisatie van het beleid. Functiecontext Functioneert als zelfstandig opererend intern beleidsadviseur, ressorterend onder het lid van het concern managementteam verantwoordelijk voor informatiebeveiliging. Geeft functioneel leiding aan informatiebeveiligingsmedewerkers in de gehele organisatie door het geven van richtlijnen en sturing op interne rapportages over de uitvoering van het informatiebeveiligingsbeleid en het naleven van uitvoeringsrichtlijnen. Moet weerstand overwinnen om het beleid en richtlijnen te laten naleven, die vaak als belemmerend worden ervaren in de uitvoering van het werk. Resultaatgebieden Beleid - Vormt zich een visie op de betekenis van informatiebeveiliging voor het concern door voortdurende beeldvorming over risico’s en oplossingsrichtingen voor maatregelen passend bij het concernbeleid. - Stelt doelen voor informatiebeveiliging voor. - Ontwikkelt een strategie om die doelen te bereiken. - Ontwikkelt beleid ter uitvoering van de strategie en stelt concernbeleids- en jaarplan samen mede op basis van de deelplannen informatiebeveiliging. Leidinggeven - Geeft functioneel leiding aan Information Security Officers en Information Security Manager. - Treedt op als projectleider of opdrachtgever voor concernbrede projecten op het gebied van informatiebeveiliging. - Organiseert en faciliteert concernoverleg voor sturing en coördinatie op het gebied van informatiebeveiliging. Implementeren - Bevordert het ontwikkelen van uitvoeringsrichtlijnen en geeft hieraan richting. - Initieert voorlichtings- en IB-bewustzijnsprogramma’s en geeft hieraan richting. - Initieert en faciliteert risicoanalyses op concernniveau. - Toetst uitvoeringsrichtlijnen aan het beleid en adviseert zonodig over verbetering. - Bereidt concernbeslissingen op het gebied van informatiebeveiliging voor. - Adviseert de leiding van concern, Business Units en ICT bij beleid(sbeslissingen) met consequenties voor informatiebeveiliging. Evalueren - Beoordeelt rapportages van Information Security Officers en Information Security Manager over de naleving van uitvoeringsrichtlijnen. - Beoordeelt rapportages van in- en externe auditinstanties op relevantie voor informatiebeveiliging. - Geeft opdrachten tot het verrichten van interne onderzoeken en audits. - Houdt een centrale registratie bij van informatiebeveiligingsincidenten en de afhandeling. - Beoordeelt ontwikkelingen in de maatschappij, de branche en het vakgebied. Onderhouden - Stelt IB-visie, -strategie en -beleid bij en bevordert aanpassing van uitvoeringsrichtlijnen op basis van evaluaties. Contacten - Intern: concernleiding, concernstaf, leiding Business Units en ICT, tactische IB-functies. - Extern: auditors, branche- en beroepsgenoten. Competenties Werk- en denkniveau - Master Kennisgebieden - ICT en informatiebeveiliging (breed) - Organisatie van informatievoorziening - Business processen (breed) 24 • • • • • • Functies in de informatiebeveiliging Vaardigheden - Integriteit - Leiderschap - Omgevingsbewustzijn - Organisatiesensiviteit - Overtuigingskracht - Stressbestendigheid - Visie Doel van de functie Het ontwikkelen van beleid gericht op het naleven van concernkaders voor informatiebeveiliging, ondersteunen van het management hierbij en toezien op de realisatie van het beleid. Functiecontext Functioneert namens het management van de Business Unit als zelfstandig adviseur op het gebied van informatiebeveiliging. Houdt toezicht op het naleven van uitvoeringsrichtlijnen. Moet weerstand overwinnen om het beleid en richtlijnen te laten naleven, die vaak als belemmerend worden ervaren in de uitvoering van het werk. Resultaatgebieden Beleid - Stelt jaarlijks het informatiebeveiligingsplan voor de Business Unit op. - Draagt bij aan concern beleidsplannen voor informatiebeveiliging vanuit het perspectief van de Business Unit. Hoofdstuk 6 Functienaam: Information Security Officer (ISO) | Afdeling: Business Unit | Rapporteert aan: lid management team of hoofd Business Unit Leidinggeven - Geeft eventueel functioneel of direct leiding aan Local Information Security Officers. Implementeren - Draagt uitvoeringsrichtlijnen op het gebied van informatiebeveiliging actief uit in de organisatie. - Adviseert over uitvoeringsrichtingen op het gebied van informatiebeveiliging. - Initieert voorlichtings- en IB-bewustzijnsprogramma’s en geeft hieraan richting. - Voert risicoanalyses uit binnen zijn competentiegebied. - Adviseert het management bij besluitvorming met gevolgen voor informatiebeveiliging. Onderhouden - Stelt het IB-jaarplan bij op basis van zijn evaluaties. Contacten - Intern: management Business Unit op alle geledingen, eigen Business Information Security Architect, Chief Information Security Officer en andere Information Security Officers. - Extern: auditors. Competenties Werk- en denkniveau - Bachelor Kennisgebieden - Informatiebeveiliging - Business processen - Interne regelgeving Vaardigheden - Doorzettingsvermogen - Integriteit - Organisatiesensitiviteit - Overtuigingskracht - Voortgangsbewaking Functieprofilering Functieprofilering Evalueren - Beoordeelt interne rapportages. - Beoordeelt rapportages van in- en externe controle en auditinstanties. - Adviseert het management inzake het verrichten van interne onderzoeken en audits. - Houdt een registratie bij van informatiebeveiligingsincidenten en beoordeelt de afhandeling. • • • • • • 25 Functienaam: Business Information Security Architect (BISA) | Afdeling: Business Unit (evt. Concern) Rapporteert aan: lid management team Business Unit of Hoofd Business Process Management Doel van de functie Het ontwikkelen en actueel houden van een visie of deelarchitectuur voor het aspect informatiebeveiliging in de enterprise of procesarchitectuur als concretisering van een deel van het strategisch IB-beleid en de positionering van generieke beveiligingsfunctionaliteiten daarbinnen. Functiecontext Procesarchitect met als specialisatie informatiebeveiliging. Vertaalt beleidskaders voor informatiebeveiliging naar enterprise of procesarchitectuur en vervult daarbij zowel een architecten- als adviseursrol. Treedt met name op als procesarchitect voor generieke beveiligingsfunctionaliteiten, bijvoorbeeld op het gebied van logische toegangsbeveiliging, encryptie, logging en auditing. Ziet toe op naleving van architectuurprincipes voor informatiebeveiliging. Houdt voortdurend zicht op marktontwikkelingen op het gebied van informatiebeveiligingsproducten. Resultaatgebieden Beleid - Vormt zich een visie op de betekenis van informatiebeveiliging in het kader van de enterprise of procesarchitectuur en houdt daarbij rekening met de concernstrategie voor informatiebeveiliging. - Draagt bij aan de concernstrategie voor informatiebeveiliging vanuit het perspectief van procesontwikkeling. - Draagt bij aan de beleidsvorming en jaarplannen ter uitvoering van deze strategie binnen zijn competentiegebied. Leidinggeven - Treedt op als projectleider voor projecten op het gebied van informatiebeveiliging. Implementeren - Ontwerpt zelfstandig deelarchitectuur van de enterprise of procesarchitectuur voor het domein informatiebeveiliging of draagt bij aan het expliciet maken van het aspect informatiebeveiliging als integraal onderdeel van deze architectuur. - Voert risicoanalyses uit binnen zijn competentiegebied. - Toetst procesontwerpen aan architectuuruitgangspunten voor informatiebeveiliging en adviseert zonodig over verbetering van die ontwerpen. - Toetst ontwerpen voor generieke beveiligingsfunctionaliteiten aan architectuuruitgangspunten voor informatiebeveiliging en adviseert zonodig over verbetering van die ontwerpen. Evalueren - Beoordeelt procesmatige ontwikkelingen in de bedrijfsvoering met mogelijke gevolgen voor IB-aspecten. - Beoordeelt IT-audit rapportages, rapportages over informatiebeveiligingsincidenten en gebruikersevaluaties van generieke beveiligingsfunctionaliteiten. Onderhouden - Draagt zorg voor het bijstellen van het aspect informatiebeveiliging in de enterprise of procesarchitectuur of implementaties daarvan op basis van zijn evaluaties. Contacten - Intern: enterprise/procesarchitecten, procesontwerpers, informatiemanagers, projectleiders voor procesmatige vernieuwingen, andere IB-functies, IT-auditors. - Extern: branche- en beroepsgenoten. Competenties Werk- en denkniveau - Master Kennisgebieden - ICT en informatiebeveiliging - Organisatie van informatievoorziening - Architectuurprincipes - Business processen (breed en diep) 26 • • • • • • Functies in de informatiebeveiliging Vaardigheden - Analytisch vermogen - Creativiteit - Initiatief - Omgevingsbewustzijn - Organisatiesensitiviteit - Samenwerken - Visie Doel van de functie Het ontwikkelen van beleid gericht op informatiebeveiliging binnen de ICT-organisatie, ondersteunen van management, zorgdragen voor de ontwikkeling van uitvoeringsrichtlijnen en toezien op de realisatie van het beleid. Functiecontext Functioneert namens het ICT-management als zelfstandig en breed opererend adviseur en toezichthouder op het gebied van informatiebeveiliging. Geeft functioneel leiding aan informatiebeveiligingsmedewerkers in de ICT-organisatie door het geven van richtlijnen en sturing op interne rapportages over de uitvoering van het informatiebeveiligingsbeleid en het naleven van uitvoeringsrichtlijnen. Moet weerstand overwinnen om het beleid en richtlijnen te laten naleven, die vaak als belemmerend worden ervaren in de uitvoering van het werk. Resultaatgebieden Beleid - Stelt jaarlijks het informatiebeveiligingsplan voor de ICT-organisatie op. - Draagt bij aan de concernstrategie en -beleidsplannen voor informatiebeveiliging vanuit het perspectief van de ICT-organisatie. Hoofdstuk 6 Functienaam: Information Security Manager (ISM) | Afdeling: ICT | Rapporteert aan: lid managementteam of Hoofd ICT Leidinggeven - Geeft eventueel functioneel of direct leiding aan andere IB-functies binnen de ICT-organisatie. - Organiseert en faciliteert overleg om maatregelen en evaluaties binnen de ICT-organisatie op het gebied van informatiebeveiliging op elkaar af te stemmen. Implementeren - Draagt zorg voor actuele uitvoeringsrichtlijnen op het gebied van informatiebeveiliging. - Initieert voorlichtings- en IB-bewustzijnsprogramma’s en geeft hieraan richting. - Voert risicoanalyses uit binnen zijn competentiegebied en op concernniveau als vertegenwoordiger van de ICT-organisatie. - Adviseert de leiding van de ICT-organisatie bij besluitvorming met gevolgen voor informatiebeveiliging. - Ziet toe op navolging adviezen/controlebevindingen bij certificeringsprocessen. Functieprofilering Evalueren - Beoordeelt afdelings- en procesrapportages binnen de ICT-organisatie. - Beoordeelt rapportages van in- en externe controle en auditinstanties. - Geeft opdrachten tot het verrichten van interne onderzoeken en audits. - Beoordeelt of participeert in de afhandeling van informatiebeveiligingsincidenten. Onderhouden - Stelt het IB-jaarplan en IB-uitvoeringsrichtlijnen bij op basis van zijn evaluaties. Contacten - Intern: concernleiding, concernstaf, leiding Business Units en ICT, andere IB-functies. - Extern: auditors, branche- en beroepsgenoten. Competenties Werk- en denkniveau - Master Kennisgebieden - ICT en informatiebeveiliging - Organisatie van informatievoorziening - ITIL Vaardigheden - Doorzettingsvermogen - Integriteit - Leiderschap - Overtuigingskracht - Organisatiesensitief - Omgevingsbewustzijn Functieprofilering • • • • • • 27 Functienaam: Information Security Architect (ISA) | Afdeling: ICT | Rapporteert aan: hoofd Systeemontwikkeling/Architectuur Doel van de functie Het ontwikkelen en actueel houden van het aspect informatiebeveiliging binnen de ICT-architectuur dat zowel gericht is op het voldoen aan het IB-beleid en de IB-voorschriften als op de generieke beveiligingsfunctionaliteiten binnen de technische infrastructuur. Daarbij hoort het toepasbaar maken van deze architectuur op hoofdlijnen (systeemschets) van het ontwerp en het onderhoud van de generieke beveiligingsfunctionaliteiten. Functiecontext ICT-architect met als specialisatie informatiebeveiliging in relatie tot ICT. Vertaalt beleidskaders voor informatiebeveiliging naar ICT-architecturen en vervult daarbij zowel een architect- als adviseursrol. Treedt met name op als ICT-architect voor generieke beveiligingsfunctionaliteiten, bijvoorbeeld op het gebied van logische toegangsbeveiliging, encryptie, logging- en auditing. Ziet toe op naleving van architectuurprincipes voor informatiebeveiliging. Houdt voortdurend zicht op marktontwikkelingen op het gebied van informatiebeveiligingsproducten. Resultaatgebieden Beleid - Vormt zich een visie op de betekenis van informatiebeveiliging voor ICT vanuit de concernstrategie door voortdurende beeldvorming over risico’s en oplossingsrichtingen voor maatregelen passend bij het concernbeleid. - Draagt bij aan de concernstrategie voor ICT in relatie tot informatiebeveiliging. - Draagt bij aan de beleidsvorming en jaarplannen ter uitvoering van deze strategie binnen zijn competentiegebied. Leidinggeven - Treedt op als projectleider voor projecten op het gebied van informatiebeveiliging. Implementeren - Ontwerpt zelfstandig deelarchitectuur van het ICT-complex voor het domein informatiebeveiliging of draagt bij aan het expliciet maken van het aspect informatiebeveiliging als integraal onderdeel van de ICT-architecturen. - Treedt op als ICT-architect voor generieke beveiligingsfunctionaliteiten. - Toetst ICT-ontwerpen aan architectuuruitgangspunten voor informatiebeveiliging en adviseert zonodig over verbetering van die ontwerpen. Evalueren - Beoordeelt ontwikkelingen in de ICT-markt t.a.v. nieuwe IB-risico’s en generieke oplossingen van leveranciers. - Beoordeelt interne ontwikkelingen binnen de ICT met mogelijke gevolgen voor IB-aspecten in de ICT. - Beoordeelt IT-audit rapportages, rapportages over informatiebeveiligingsincidenten en gebruikersevaluaties van generieke beveiligingsfunctionaliteiten. Onderhouden - Draagt zorg voor het bijstellen van het aspect informatiebeveiliging in ICT-architecturen op basis van zijn evaluaties. Contacten - Intern: ICT-architecten, ICT-ontwerpers, projectleiders ICT, andere IB-functies, IT-auditors. - Extern: ICT-leveranciers en beroepsgenoten. Competenties Werk- en denkniveau - Master Kennisgebieden - ICT en informatiebeveiliging - Architectuurprincipes - Standaards inzake informatiebeveiliging 28 • • • • • • Functies in de informatiebeveiliging Vaardigheden - Analytisch vermogen - Creativiteit - Initiatief - Omgevingsbewustzijn - Samenwerken - Visie Doel van de functie Het verrichten van ontwikkel-, beheer- of advieswerkzaamheden in een ICT-organisatie, die vragen om een diepgaande technische kennis van ICT en informatiebeveiliging. Functiecontext Deze functie kan veel verschillende verschijningsvormen hebben en kan hier slechts in algemene zin worden geduid. De betekenis van de functie hangt nauw samen met de wijze waarop deze in de ICT-organisatie wordt ingezet en waar de stand van de techniek en de bedrijfs- of ICT-typologie om vraagt. De kern van de functie betreft de deskundigheid om op het snijvlak van ICT-techniek en informatiebeveiliging te opereren. Zowel als ontwerper, adviseur of implementeerder van (generieke) beveiligingsfunctionaliteiten, als bij het dagelijkse beheer van complexe omgevingen waarbij een hoog niveau van informatiebeveiliging moet worden gehandhaafd. Beveiligingsfunctionaliteiten kunnen betrekking hebben op logische toegangsbeveiliging, encryptie, logging en auditing, bescherming van netwerken tegen indringers of malware, incidentafhandeling, live testen van de robuustheid van beveiliging en dergelijke. Resultaatgebieden Beleid - Niet van toepassing. Hoofdstuk 6 Functienaam: Technical Information Security Specialist (TISS) | Afdeling: ICT | Rapporteert aan: afhankelijk van plaats tewerkstelling Leidinggeven - Niet van toepassing. Implementeren - Ontwerpt of beheert zelfstandig informatiebeveiligingsaspecten van de technische infrastructuur of (generieke) informatiebeveiligingsfunctionaliteiten daarin. - Adviseert over het implementeren van informatiebeveiligsaspecten van de technische infrastructuur of (generieke) informatiebeveiligingsfunctionaliteiten. Onderhouden - Draagt er zorg voor dat ontstane leemten blijkend uit informatiebeveiligingsincidenten en -testen worden opgelost. Contacten - Intern: ICT-architecten, -projectleiders, -ontwerpers en -beheerders, andere IB-functies. - Extern: ICT-leveranciers. Competenties Werk- en denkniveau - Bachelor Kennisgebieden - ICT en informatiebeveiliging - ICT Platformen - Technische standaards voor informatiebeveiliging Vaardigheden - Analytisch vermogen - Creativiteit - Doorzettingsvermogen - Kwaliteitsgerichtheid - Leervermogen - Resultaatgerichtheid Functieprofilering Functieprofilering Evalueren - Voert zelfstandig live testen uit om vast te stellen of er zich leemten m.b.t. de informatiebeveiliging voordoen in de technische infrastructuur, al dan niet in combinatie met toepassingssoftware, voor zover hij niet is betrokken bij het ontwerp, implementatie of beheer van de te testen omgeving. - Is betrokken bij het analyseren en afhandelen van informatiebeveiligingsincidenten. • • • • • • 29 6.4 Groeipaden Bij de IB-functies zijn drie niveaus onderscheiden (strategisch, tactisch, operationeel), en de focus kan liggen op business of op ICT. Hierdoor zijn er binnen de functies groeipaden te onderkennen. Daarnaast is het ook van belang na te gaan welke andere functies in aanmerking komen voor doorstroming naar de IB-functies en omgekeerd. Omdat informatiebeveiliging een breed vakgebied is waarbij overal in de organisatie contacten moeten worden onderhouden, kan het aantrekkelijk zijn om een IB-functie te vervullen als onderdeel van een carrièrepad. Daarbij hoeft het natuurlijk niet altijd om bevordering naar een hogere functie te gaan: horizontale doorstroming kan eveneens aan de orde zijn, waarbij informatiebeveiliging verbreding van de horizon kan geven. Een aantal voor de hand liggende groeipaden is opgenomen in figuur 9. Daarbij kan opgemerkt worden dat het voor een IB-functie interessant kan zijn om zich op andere objectgebieden binnen dezelfde soort functie te gaan richten, waardoor hij breder gaat functioneren. Ook kan het vervullen van een ander soort IB-functie een tussenstap zijn om naar een heel andere functie te groeien, bijvoorbeeld als een Information Security Architect met belangstelling voor de managementkant eerst een functie als Information Security Manager gaat vervullen om vervolgens door te groeien naar een algemene managementfunctie binnen ICT. Figuur 8 Resultaatgebieden in het proces informatiebeveiliging. Afhankelijk van zijn afkomst zal de in- of doorstromer naar IB-functies extra kwalificaties moeten ontwikkelen. In Tabel 6 is daarvan een overzicht opgenomen. IB-functie afkomst ontwikkelrichting Chief Information Security Officer Senior manager oriënteren op informatiebeveiliging Information Security Manager oriënteren op de business en/of concern Information Security Officer andere staffunctie oriënteren op informatiebeveiliging Business Information Security Architect procesarchitect oriënteren op informatiebeveiliging IT-auditor oriënteren op architectuur Information Security Manager Information Security Architect Technical Information Security Specialist Tabel 6 Groeipaden en ontwikkelrichting 30 • • • • • • Functies in de informatiebeveiliging ICT-afdelingsmanager oriënteren op informatiebeveiliging Information Security Architect oriënteren op ICT-processen (ITIL) en -organisatie Business Information Security Architect oriënteren op ICT-processen (ITIL) en -organisatie ICT-architect oriënteren op informatiebeveiliging Technical Information Security Specialist als ontwerper: oriëntatie op architectuur en evt. verbreden kennis informatiebeveiliging ontwerper/ technisch beheerder oriënteren op informatiebeveiliging gerichte oriëntatie, de managementrichting, en anderzijds de meer specialistische ICT-oriëntatie. Daarnaast zouden de functies op verschillende niveaus moeten worden uitgevoerd. In Tabel 7 zijn de IB-functies op deze oriëntaties en niveaus uitgesplitst. Type onderwijs Management gericht Technisch gericht Master Chief Information Security Officer Information Security Architect Information Security Manager Business Information Security Architect Bachelor Information Security Officer Hoofdstuk 7 Voor opleidingsdoeleinden kan een tweetal oriëntatielijnen voor de IB-functies onderkend worden. Het betreft enerzijds de organisatie- en management- Technical Information Security Specialist Tabel 7 Oriëntatie op het onderwijs. De functieprofilering zoals in dit visiedocument uitgewerkt, is nieuw. Dat betekent dat afstemming van deze profielen met het onderwijsaanbod nog niet heeft plaatsgevonden. Gezien de dynamiek in het onderwijsveld wordt in het visiedocument nog geen overzicht opgenomen van de onderwijsinstellingen met hun aanbod voor informatiebeveiligingsopleidingen. Dit wordt als een vervolgstap gezien, waarvan het doelmatiger is de resultaten hiervan op de verenigingswebsite te plaatsen, zodat het overzicht eenvoudiger actueel kan worden gehouden. Daarbij kan tevens worden gezorgd voor genoemde afstemming tussen profielen en onderwijsaanbod. Opleidingen Opleidingen • • • • • • 31 Bijlage Overzicht vaardigheden als onderdeel van competenties 32 • • • • • • Analytisch vermogen In staat zijn om vraagstukken op een systematische manier te onderzoeken. Maakt onderscheid tussen hoofd- en bijzaken. Verbanden kunnen leggen, oorzaken kunnen opsporen en informatie verwerken tot hanteerbare eenheden. Besluitvaardigheid Keuzen maken op basis van informatie en ervaring. Het afwegen van de voor- en nadelen van een beslissing. Zich vastleggen door middel van het uitspreken van meningen. Creativiteit Met oorspronkelijke ideeën komen voor vraagstukken die met de functie verband houden. Zich met een onderzoekende en nieuwsgierige geest richten op toekomstige vernieuwing van strategie, producten, diensten en markten. Doorzettingsvermogen Zich gedurende langere tijd intensief met een taak bezig kunnen houden, ook bij tegenslag. Volharden in een plan totdat het beoogde doel bereikt is. Leiderschap Het stimuleren, motiveren, beïnvloeden en begeleiden van anderen bij het bereiken van doelen: doelen stellen, richtinggeven. Initiatief Alert zijn en anticiperen op kansen, nieuwe situaties of problemen en er in een vroeg stadium naar handelen. Zelf actie ondernemen. Integriteit Handhaven van algemeen aanvaarde sociale en ethische normen in activiteiten die met de functie te maken hebben. Kwaliteitsgerichtheid Gericht zijn op het leveren van goede producten en diensten en waar mogelijk het verbeteren van de kwaliteit van producten en diensten. Leervermogen Nieuwe informatie en ideeën snel kunnen opnemen, analyseren en verwerken en deze effectief kunnen toepassen in de werksituatie. Omgevingsbewustzijn Laten blijken goed geïnformeerd te zijn over organisatorische, maatschappelijke en politieke ontwikkelingen of andere omgevingsfactoren (binnen of buiten de organisatie). Organisatiesensitiviteit Waarnemen van en zicht hebben op de invloed en de gevolgen van beslissingen en gedragingen van mensen in een organisatie. Overtuigingskracht Gedrag dat erop gericht is anderen te overtuigen van een bepaald standpunt en instemming te krijgen met bepaalde plannen, ideeën of zaken. Resultaatgerichtheid Zich ondanks problemen, tegenslag, tegenwerking of afleidingen blijven richten op het bereiken van het doel. Samenwerken Bijdragen aan een gezamenlijk resultaat door een optimale afstemming tussen de eigen kwaliteiten en belangen en die van de groep/de ander. Visie Een richtinggevend toekomstbeeld op hoofdlijnen voor de organisatie / afdeling / producten / diensten ontwikkelen en uitdragen. Voortgangsbewaking Opstellen, volgen en uitvoeren van procedures om de goede voortgang van processen, taken of activiteiten van medewerkers en van zichzelf zeker te stellen. Functies in de informatiebeveiliging Bokhorst Bart, Functies in de informatiebeveiliging, een visie op ordening, deel 1 en 2 , Informatiebeveiliging 7 (2004) en Informatiebeveiliging 1 (2005) Cazemier Jacques A, Overbeek Paul, e.a. (1999), Security Management, CCTA Coul J. C. op de (2001), Taken, functies, rollen en competenties in de informatica, Den Haag Literatuur ‘Beveiliging moet los van IT’, Tijdschrift CIO IT-strategie voor managers, IDG Communications Nederland, jaargang 2, nummer 4, april 2003 Dunn Lex, Kuiper Renato (2003), Security-architectuur, modekreet of bruikbaar?, Informatiebeveiliging 8 ECABO (2004), Beroepscompetentieprofiel Digitaal Rechercheur, www.ecabo.nl GvIB, Expertbrief ‘Functies en rollen in de informatiebeveiliging’, maart 2005 GvIB, Expertbrief ‘Het inrichten van een beveiligingsorganisatie’, juli 2006 Hoek Cobie van der, Koppen Leo van, Spruit Marcel (2004), Competenties van de Informatiebeveiliger, Tinfon 4 Nederlands Genootschap van Functionarissen voor de Gegevensbescherming, ‘Informatieblad - Taken van de FG’, december 2005, www.ngfg.nl NEN, Nederlandse norm NEN-ISO/IEC 17799 (nl) Code voor informatiebeveiliging (ISO/IEC17799:2005) Oud Ernst J., Praktijkgids Code voor Informatiebeveiliging, november 2002, pp.107/108 Overbeek Paul, Roos Lindgreen Edo, Spruit Marcel (2000), Informatiebeveiliging onder controle, Pearson Education Stichting SURF (december 2005), Leidraad functieprofiel Informatiebeveiliger in het hoger onderwijs Figuren 1 Hiërarchie bepalende kaders voor informatiebeveiliging (vrij naar Gartner) 2 Positionering IB-functies 3 Invalshoeken informatiebeveiliging in relatie tot de architecturen 4 Samenhang en onderscheid IB-architectenfuncties 5 Samenhang en onderscheid met verwante functies – 1 6 Verschillende taken voor hetzelfde objectgebied 7 Samenhang en onderscheid met verwante functies - 2 8 Resultaatgebieden in het proces informatiebeveiliging 9 Groeipaden IB-functies Tabellen 1 Objectgebieden informatiebeveiliging 2 Indicatie primaire taakverdeling voor informatiebeveiliging 3 De IB-functies 4 Relatietabel functies in de informatiebeveiliging 5 Taakoverzicht op hoofdlijnen per resultaatgebied 6 Groeipaden en ontwikkelrichting 7 Oriëntatie op het onderwijs Literatuur • • • • • • 33 34 • • • • • • Functies in de informatiebeveiliging Appendix APPENDIX GEBRUIKTE LICENTIEVORM Dit visiedocument wordt gepubliceerd onder de volgende licentie: http://creativecommons.org/licenses/by-sa/2.5/ Appendix • • • • • • 35 36 • • • • • • Functies in de informatiebeveiliging Algemene functies....................................................................................................... 16 Informatiebeveiliging...................................................................................................9 Architect informatiebeveiliging........................................................................... 16 Information Security Architect ................................................................... 18, 28 Bedrijfsveiligheid............................................................................................................9 Information Security Manager ..................................................................... 17, 27 Beheersdoelstellingen ............................................................................................... 10 Information Security Officer ......................................................................... 17, 25 Beleidsmedewerker informatiebeveiliging ..................................................... 21 Integrale beveiliging ....................................................................................................9 Beroep................................................................................................................................ 12 Integriteit ...........................................................................................................................9 Best practices ...................................................................................................................9 Interne controle-medewerker................................................................................ 21 Beveiligingsfunctionaris .......................................................................................... 12 IT auditor ......................................................................................................................... 19 Beveiligingsmanager .................................................................................................. 19 Kwaliteitsmedewerker................................................................................................ 20 Business Information Security Architect .......................................17, 18, 26 Local Information Security Manager ................................................................. 15 Business Continuity Manager ................................................................................ 18 Local Information Security Officer ..................................................................... 15 Carrièrepaden ....................................................................................................................7 Manager kwaliteitszorg............................................................................................. 19 Certificering .................................................................................................................... 20 Mandatering.................................................................................................................... 11 Chief Executive Officer.................................................................................................7 Medewerker administratieve organisatie en interne controle ............. 20 Chief Financial Officer ..................................................................................................7 Normen en maatregelen ........................................................................................... 10 Chief Information Officer ...........................................................................................7 Onverenigbare functies............................................................................................. 22 Chief Information Security Officer ............................................................ 17, 24 Publieksbeveiliging........................................................................................................9 Compliance .........................................................................................................................9 Quality Assurance Manager..................................................................................... 19 Compliancemanagement .............................................................................................7 Register Security Expert .......................................................................................... 12 Consultancyfuncties ............................................................................................. 7, 19 Risicomanager (Risk manager) .................................................................... 18, 19 Controleren...................................................................................................................... 11 Rol........................................................................................................................................ 12 Deeltaak ............................................................................................................................ 12 Security Administrator .............................................................................................. 12 Digitale rechercheur ................................................................................................... 22 Specialistische functies............................................................................................ 16 Enterprise Risk Management ....................................................................................7 Taakveld ............................................................................................................................ 12 Ethisch hacker ............................................................................................................... 22 Technical Information Security Specialist ............................................ 18, 29 Functie ............................................................................................................................... 12 Toezicht houden ........................................................................................................... 11 Functionaris voor de gegevensbescherming ........................................ 16, 21 Uitvoerende functies ................................................................................................. 16 Governance raamwerken .......................................................................................... 10 Volwassenheidsmodel ................................................................................................ 15 IB-functionaliteiten ................................................................................................... 17 Wet- en regelgeving ................................................................................................... 10 Index Begrippen ICT-architect................................................................................................................... 16 Index • • • • • • 37 38 • • • • • • Functies in de informatiebeveiliging Functies in de informatiebeveiliging is een uitgave van: ISBN-10: 90-78786-01-9 ISBN-13: 978-90-78786-01-6 www.gvib.nl www.pi4ib.nl
